web-dev-qa-db-ja.com

FreeIPAはVMWare証明書署名要求(CSR)への署名を拒否します

VMWareの認証局(VMCA)v6.7をFreeIPA認証局の信頼できるサブCAにしようとしています。対話型ツール(certificate-manager)を使用するか、VMWareのcertoolと構成ファイル(certool.cfg)を使用して、VMCA内で証明書署名要求を生成できるはずです。

もちろん、インタラクティブツールには魅力があります。ツールは質問をします。いくつかの答えが必要です:

Press Enter key to skip optional parameters or use Previous value.

Enter proper value for 'Country' [Previous value : US] : 

Enter proper value for 'Name' [Previous value : vcenter.int.demarcohome.com] : 

Enter proper value for 'Organization' [Previous value : DeMarco Home] : 

Enter proper value for 'OrgUnit' [Previous value : none] : 

Enter proper value for 'State' [Previous value : North Carolina] : 

Enter proper value for 'Locality' [Previous value : Raleigh] : 

Enter proper value for 'IPAddress' (Provide comma separated values for multiple IP addresses) [optional] : 

Enter proper value for 'Email' [Previous value : [email protected]] : 

Enter proper value for 'Hostname' (Provide comma separated values for multiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : vcenter.int.demarcohome.com

Enter proper value for VMCA 'Name' : vcenter

FreeIPA内で、このCSRに署名しようとすると、要求は署名されず、エラー#3009が発生します。

invalid 'csr': subject alt name type RFC822Name is forbidden for non-user principals

CSRをデコードすると( https://www.sslshopper.com/csr-decoder.html )、サブジェクト代替名(SAN)が含まれていることがわかります。

email:[email protected],
IP Address:10.71.73.8
vcenter.int.demarcohome.com

「名前は非ユーザープリンシパルには禁止されています」というエラーは私にはある程度意味がありますが、正しい方向に向けるには十分ではありません。質問への回答を変えることでCSRのフォーマットを変える必要がありますか、それともFreeIPA内で下位CAを誤って作成するプロセスを実行しますか?

1
ndemarco

X.509 v3証明書拡張でサブジェクト代替名(SAN)として使用される最も一般的な名前は、「DNSName」と「RFC822Name」です。 「RFC822Name」という名前は通常電子メールアドレスであり、「DNSName」はホスト名です。

エラー「 '無効な' csr ':サブジェクト代替名タイプRFC822Nameは非ユーザープリンシパルに対して禁止されています'」はそれをすべて言います。非ユーザープリンシパルの証明書を要求する場合、名前タイプが「RFC822Name」のSAN)を使用することはできません。

認証局(CA)の証明書を作成しようとしているようです。この場合、間違った証明書プロファイルを使用して証明書署名要求(CSR)を作成しました。 PKI管理者に相談して、CAのCSRを作成することを説明し、使用するプロファイルを尋ねることをお勧めします。証明書で使用される拡張子が異なるため、証明書の種類が異なれば、必要なプロファイルも異なります。

VMCAを中間CAにする方法の詳細については、次を参照してください。

https://docs.vmware.com/en/VMware-vSphere/6.0/com.vmware.vsphere.security.doc/GUID-886C7657-3C2D-4AAC-8525-D5700CA58FCD.html

そしてここに、VMCAを中間CAにするためのCSRの要件が示されています。

https://docs.vmware.com/en/VMware-vSphere/6.0/com.vmware.vsphere.security.doc/GUID-75008746-C902-4C42-8F5C-6602D6E4EC8B.html#GUID-75008746- C902-4C42-8F5C-6602D6E4EC8B

1
Thorsten Scherf