우리는 기존 CA를 사용하여 Freeipa를 설치하고 있습니다. 설치하는 동안 CSR이 생성되며 CA에서 인증서를 작성하기 위해 서명해야합니다. CA :이 인증서는FreeIPA 외부 CA (중간 CA)
X509v3 기본 제약 조건이 있어야합니다
지금은 약 한 시간 동안 연구 된 TRUE를 내가 무엇을해야하는지의 손실에 있어요. 일반적으로 CSR에 서명합니다.
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ipa.pem
이 작동하지만 CA : TRUE는 없습니다.
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extensions v3_ca -out ipa.pem
및 원래와 동일한 기능을 생성 : 제가 이렇게 시도했다.
생성 된 키가 내 openssl.cnf에서 정보를 가져 오는 것을 볼 수 있지만 아래 확장 문은 무시됩니다.
[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = CA:true
내가해야 할 일이나 제공 할 수있는 추가 정보가있는 사람이 있습니까? 감사!
Sidenote : 나는 gui 또는 gui 도구가 없습니다.이 모든 것은 명령 줄에서 가져온 것입니다. CSR은 IPA 소프트웨어에 의해 생성되었으므로 수동으로 생성하지는 않습니다.
여기 IPA에서 메모입니다 :
는 CA 서명 인증서가 유효한 CA 인증서가 있어야 ID 관리 서버에 대해 생성. 이렇게하려면 기본 제약 조건을 CA = true로 설정하거나 인증서에 서명 할 수 있도록 서명 사용 인증서에 키 사용 확장 번호 을 설정해야합니다.
! 좋아 고마워! – driz