SCEP nutzen

Wer nicht auf die in FreeIPA integrierte CA zugreifen möchte, kann sich die von certmonger aktuell unterstützten CAs mit "getcert list-cas" anzeigen lassen. Soll nun zum Beispiel mit Hilfe von SCEP ein Zertifikat angefordert werden, fügen Sie mit »getcert add-ca« das hierfür benötigte CA-Helper-Skript hinzu:

$ getcert add-ca -c exampleSCEPca -e /usr/libexec/certmonger/scep-submit -u http://ca.example.com/cgi-bin/pkiclient.exe

Die Zertifikatsanfrage erfolgt dann wieder mit "getcert request" und dem soeben hinzugefügten Helper-Skript ("-c"):

$ getcert request -c exampleSCEPca -f /etc/pki/tls/certs/cert.crt -k /etc/pki/tls/private/cert.key

Weitere CA-Helper-Skripte lassen sich jeweils auf die gleiche Art und Weise hinzufügen. Die Dokumentation [2] enthält hierfür einige Beispiele.

Fazit

Mit certmonger steht ein umfangreicher Client-Dienst zum Erstellen und Verwalten von X.509-Zertifikaten zur Verfügung. Das Tool kann, dank der SCEP-Unterstützung, Zertifikate von den meisten Certificate Authorities anfordern und besitzt viele interessante Features wie beispielsweise das selbstständige Erneuern von Zertifikaten oder den Support für unterschiedliche Zertifikatsprofile. Mit Hilfe von Pre- und Post-Save-Skripten lassen sich beliebige Kommandos ausführen, bevor oder nachdem ein neues Zertifikat gespeichert wurde.

(of)