我试图弄清楚如何配置OpenXPKI以使用EST协议。他们的主页上仅注明“为EST提供了本地支持”。但是,如果有人有一些很好的指导或类似的指导,将不胜感激。例如,我发现了http://testrfc7030.com/,我想配置OpenXPKI以提供其测试服务器提供的服务。
答案 0 :(得分:0)
我们仍然是 OpenXPKI 的新手,但我们可以使用以下命令使用 EST 成功注册证书:
# Create a new Certificate Signing Request using a fixed configuration from file ~/ca/openssl.cnf
openssl req --config ~/ca/openssl.cnf -extensions srv_ext -nodes -newkey rsa:4096 -keyout newcert.key -out newcert.csr -outform DER
# base 64 encode CSR
base64 newcert.csr > newcert.b64
# Here goes the EST Request to request Certificate signing
curl https://localhost/.well-known/est/simpleenroll -k -s -o newcert.p7.enc --data @newcert.b64 -H "Content-Type: application/pkcs10" -H" Content-Transfer-Encoding: base64"
# Check Certificate manually (For me there were still some headers before the BEGIN CERTIFICATE part that I had to cut away)
base64 -d newcert.p7.enc | openssl pkcs7 -text -noout -print_certs -inform DER
# Convert to x509
base64 -d newcert.p7.enc | openssl pkcs7 -inform DER -print_certs -out newcert.pem
遗憾的是,我认为 OpenXPKI 文档非常不完整,特别是如果涉及自动化,这应该是当今的核心用例之一。
我们目前尝试使用 ansible 为 vpn 客户端自动注册客户端证书。