VMWareの認証局(VMCA)v6.7をFreeIPA認証局の信頼できるサブCAにしようとしています。対話型ツール(certificate-manager)を使用するか、VMWareのcertoolと構成ファイル(certool.cfg)を使用して、VMCA内で証明書署名要求を生成できるはずです。
もちろん、インタラクティブツールには魅力があります。ツールは質問をします。いくつかの答えが必要です:
Press Enter key to skip optional parameters or use Previous value.
Enter proper value for 'Country' [Previous value : US] :
Enter proper value for 'Name' [Previous value : vcenter.int.demarcohome.com] :
Enter proper value for 'Organization' [Previous value : DeMarco Home] :
Enter proper value for 'OrgUnit' [Previous value : none] :
Enter proper value for 'State' [Previous value : North Carolina] :
Enter proper value for 'Locality' [Previous value : Raleigh] :
Enter proper value for 'IPAddress' (Provide comma separated values for multiple IP addresses) [optional] :
Enter proper value for 'Email' [Previous value : [email protected]] :
Enter proper value for 'Hostname' (Provide comma separated values for multiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : vcenter.int.demarcohome.com
Enter proper value for VMCA 'Name' : vcenter
FreeIPA内で、このCSRに署名しようとすると、要求は署名されず、エラー#3009が発生します。
invalid 'csr': subject alt name type RFC822Name is forbidden for non-user principals
CSRをデコードすると( https://www.sslshopper.com/csr-decoder.html )、サブジェクト代替名(SAN)が含まれていることがわかります。
email:[email protected],
IP Address:10.71.73.8
vcenter.int.demarcohome.com
「名前は非ユーザープリンシパルには禁止されています」というエラーは私にはある程度意味がありますが、正しい方向に向けるには十分ではありません。質問への回答を変えることでCSRのフォーマットを変える必要がありますか、それともFreeIPA内で下位CAを誤って作成するプロセスを実行しますか?
X.509 v3証明書拡張でサブジェクト代替名(SAN)として使用される最も一般的な名前は、「DNSName」と「RFC822Name」です。 「RFC822Name」という名前は通常電子メールアドレスであり、「DNSName」はホスト名です。
エラー「 '無効な' csr ':サブジェクト代替名タイプRFC822Nameは非ユーザープリンシパルに対して禁止されています'」はそれをすべて言います。非ユーザープリンシパルの証明書を要求する場合、名前タイプが「RFC822Name」のSAN)を使用することはできません。
認証局(CA)の証明書を作成しようとしているようです。この場合、間違った証明書プロファイルを使用して証明書署名要求(CSR)を作成しました。 PKI管理者に相談して、CAのCSRを作成することを説明し、使用するプロファイルを尋ねることをお勧めします。証明書で使用される拡張子が異なるため、証明書の種類が異なれば、必要なプロファイルも異なります。
VMCAを中間CAにする方法の詳細については、次を参照してください。
そしてここに、VMCAを中間CAにするためのCSRの要件が示されています。