我们正在使用现有的CA进行freeipa安装。在安装过程中,将生成CSR,并且必须由CA签名以创建证书。该证书必须具有
X509v3基本约束:CA:TRUE
我已经研究了大约一个小时,现在我不知所措。通常,我这样签署CSR
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ipa.pem
这可行,但是CA:TRUE不存在。我尝试这样做:
openssl x509 -req -in ipa.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -extensions v3_ca -out ipa.pem
它产生的功能与原始功能相同。
我可以看到生成的密钥从我的openssl.cnf中提取信息,但是它忽略了下面的extensions语句。
[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = CA:true
是否有人对我需要做什么或可以提供哪些其他信息有任何想法?谢谢!
旁注:我没有gui或gui工具,这些都来自命令行。CSR是由IPA软件生成的,我不是手动创建它。
这是IPA的说明:
为身份管理服务器生成的CA签名证书必须是有效的CA证书。这要求将“基本约束”设置为CA = true,或者在签名证书上设置“密钥用法扩展”以允许它对证书进行签名。