Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

26.8. CA の既存の IdM ドメインへのインストール

IdM ドメインが証明局 (CA) なしでインストールされた場合には、後で CA サービスをインストールできます。環境によっては、IdM 証明書サーバーの CA をインストールすることも、外部の CA を使用することもできます。

注記

サポートされる CA 設定に関する詳細は「CA 設定の決定」を参照してください。
IdM 証明書サーバー
  1. 以下のコマンドを使用して IdM 証明書サーバーの CA をインストールします。
    [root@ipa-server ~] ipa-ca-install
  2. 全サーバーおよびクライアントで ipa-certupdate ユーティリティーを実行して、LDAP からの新規証明書に関する情報でクライアントを更新します。全サーバーおよびクライアントで個別に ipa-certupdate を実行する必要があります。

    重要

    証明書を手動でインストールした後に ipa-certupdate を必ず実行します。実行しない場合には、証明書が他のマシンに配信されません。
外部 CA
外部 CA を後でインストールする際には、複数の手順を踏む必要があります。
  1. インストールを開始します。
    [root@ipa-server ~] ipa-ca-install --external-ca
    この手順を終えると、証明書署名要求 (CSR) が保存された旨の情報が表示されます。CSR を外部 CA に送信して、発行した証明書を IdM サーバーにコピーします。
  2. 証明書と外部 CA への完全なパスを ipa-ca-install に渡して、インストールを続行します。
    [root@ipa-server ~]# ipa-ca-install --external-cert-file=/root/master.crt --external-cert-file=/root/ca.crt
  3. 全サーバーおよびクライアントで ipa-certupdate ユーティリティーを実行して、LDAP からの新規証明書に関する情報でクライアントを更新します。全サーバーおよびクライアントで個別に ipa-certupdate を実行する必要があります。

    重要

    証明書を手動でインストールした後に ipa-certupdate を必ず実行します。実行しない場合には、証明書が他のマシンに配信されません。
CA をインストールしても、LDAP および Web サーバーの既存のサービス証明書は、新しくインストールした CA の証明書には置き換えられません。証明書を置き換える方法は、「Web サーバーおよび LDAP サーバーの証明書の置き換え」を参照してください。