26.8. CA の既存の IdM ドメインへのインストール

IdM ドメインが証明局 (CA) なしでインストールされた場合には、後で CA サービスをインストールできます。環境によっては、IdM 証明書サーバーの CA をインストールすることも、外部の CA を使用することもできます。

注記

サポートされる CA 設定に関する詳細は「CA 設定の決定」を参照してください。
IdM 証明書サーバーのインストール
  1. 以下のコマンドを使用して IdM 証明書サーバーの CA をインストールします。
    [root@ipa-server ~] ipa-ca-install
  2. 全サーバーおよびクライアントで ipa-certupdate ユーティリティーを実行して、LDAP からの新規証明書に関する情報でクライアントを更新します。全サーバーおよびクライアントで個別に ipa-certupdate を実行する必要があります。

    重要

    証明書を手動でインストールした後に ipa-certupdate を必ず実行します。実行しない場合には、証明書が他のマシンに配信されません。
外部 CA のインストール
外部 CA を後でインストールする際には、複数の手順を踏む必要があります。
  1. インストールを開始します。
    [root@ipa-server ~] ipa-ca-install --external-ca
    この手順を終えると、証明書署名要求 (CSR) が保存された旨の情報が表示されます。CSR を外部 CA に送信して、発行した証明書を IdM サーバーにコピーします。
  2. 証明書と外部 CA への完全なパスを ipa-ca-install に渡して、インストールを続行します。
    [root@ipa-server ~]# ipa-ca-install --external-cert-file=/root/master.crt --external-cert-file=/root/ca.crt
  3. 全サーバーおよびクライアントで ipa-certupdate ユーティリティーを実行して、LDAP からの新規証明書に関する情報でクライアントを更新します。全サーバーおよびクライアントで個別に ipa-certupdate を実行する必要があります。

    重要

    証明書を手動でインストールした後に ipa-certupdate を必ず実行します。実行しない場合には、証明書が他のマシンに配信されません。
CA をインストールしても、LDAP および Web サーバーの既存のサービス証明書は、新しくインストールした CA の証明書には置き換えられません。証明書を置き換える方法は、「Web サーバーおよび LDAP サーバーの証明書の置き換え」を参照してください。