Den Schutz vor Angreifern und Malware hat sich IT-Administrator im März auf die Fahnen geschrieben. So lesen Sie in der Ausgabe, mit welchen Handgriffen Sie ... (mehr)

SCEP nutzen

Wer nicht auf die in FreeIPA integrierte CA zugreifen möchte, kann sich die von certmonger aktuell unterstützten CAs mit "getcert list-cas" anzeigen lassen. Soll nun zum Beispiel mit Hilfe von SCEP ein Zertifikat angefordert werden, fügen Sie mit »getcert add-ca« das hierfür benötigte CA-Helper-Skript hinzu:

$ getcert add-ca -c exampleSCEPca -e /usr/libexec/certmonger/scep-submit -u http://ca.example.com/cgi-bin/pkiclient.exe

Die Zertifikatsanfrage erfolgt dann wieder mit "getcert request" und dem soeben hinzugefügten Helper-Skript ("-c"):

$ getcert request -c exampleSCEPca -f /etc/pki/tls/certs/cert.crt -k /etc/pki/tls/private/cert.key

Weitere CA-Helper-Skripte lassen sich jeweils auf die gleiche Art und Weise hinzufügen. Die Dokumentation [2] enthält hierfür einige Beispiele.

Fazit

Mit certmonger steht ein umfangreicher Client-Dienst zum Erstellen und Verwalten von X.509-Zertifikaten zur Verfügung. Das Tool kann, dank der SCEP-Unterstützung, Zertifikate von den meisten Certificate Authorities anfordern und besitzt viele interessante Features wie beispielsweise das selbstständige Erneuern von Zertifikaten oder den Support für unterschiedliche Zertifikatsprofile. Mit Hilfe von Pre- und Post-Save-Skripten lassen sich beliebige Kommandos ausführen, bevor oder nachdem ein neues Zertifikat gespeichert wurde.

(of)

Link-Codes

[1] X.509 RFC: https://tools.ietf.org/html/rfc6818/

[2] Certmonger-Dokumentation: https://git.fedorahosted.org/cgit/certmonger.git/tree/doc/

[3] Enrollment over Secure Transport RFC: https://tools.ietf.org/html/rfc7030/

comments powered by Disqus
Mehr zum Thema

PKI mit FreeIPA

Auch wenn Open-Source-Werkzeuge zum Verwalten von X.509-Zertifikaten rar sind, steht doch mit FreeIPA ein umfassendes Identity-Management-Framework bereit, mit dem sich sehr leicht eine Public-Key-Infrastruktur aufbauen lässt. Die Administration erfolgt anschließend wahlweise über ein Webfrontend oder mit Kommandozeilentools. Wir zeigen Installation und Konfiguration des Framework.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023