Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.3.6. CA なしでのインストール

注記
DNS または CA 設定が適切かどうかが不明な場合は、「統合 DNS を使用するかどうかの決定」 および 「使用する CA 設定の決定」 を参照してください。
CA を使用せずにサーバーをインストールするには、ipa-server-install ユーティリティーにオプションを追加して、必要な証明書を手動で指定する必要があります。これ以外のインストール手順はほぼ、「統合 DNS を使用したサーバーのインストール」 または 「統合 DNS を使用しないサーバーのインストール」 と同じです。
重要
自己署名のサードパーティーサーバー証明書を使用してサーバーまたはレプリカをインストールすることはできません。

CA なしで IdM サーバーをインストールするために必要な証明書

CA なしで IdM サーバーをインストールするには、以下の証明書を指定する必要があります。
  • 以下のオプションを使用して LDAP サーバー証明書および秘密鍵を指定します。
    • --dirsrv-cert-file - LDAP サーバー証明書の証明書ファイルおよび秘密鍵ファイル。
    • --dirsrv-pin - --dirsrv-cert-file に指定されたファイルにある秘密鍵にアクセスするパスワード。
  • 以下のオプションを使用して Apache サーバー証明書および秘密鍵を指定します。
    • --http-cert-file - Apache サーバー証明書の証明書および秘密鍵ファイル。
    • --http-pin - --http-cert-file に指定したファイルにある秘密鍵にアクセスするパスワード。
  • 以下のオプションを使用して、LDAP および Apache サーバー証明書を発行した CA の完全な CA 証明書チェーンを指定します。
    • --dirsrv-cert-file および --http-cert-file - 完全な CA 証明書チェーンまたはその一部が含まれる証明書ファイル。
      以下の形式の --dirsrv-cert-file オプションおよび --http-cert-file オプションを指定して、ファイルを指定できます。
      • PEM (Privacy-Enhanced Mail) がエンコードした証明書 (RFC 7468)。IdM インストーラーでは、連結した PEM エンコードオブジェクトを使用できることに注意してください。
      • 識別名エンコーディングルール (DER)
      • PKCS #7 証明書チェーンオブジェクト
      • PKCS #8 秘密鍵オブジェクト
      • PKCS #12 アーカイブ
      --dirsrv-cert-file オプションおよび --http-cert-file オプションを複数回指定して、複数のファイルを指定できます。
  • 必要に応じて、このオプションを使用して完全な CA 証明書チェーンを完了するための証明書ファイルを指定します。
    • --ca-cert-file - このオプションは複数回追加できます。
  • オプションで、このオプションを使用して外部 Kerberos 鍵配布センター (KDC) の PKINIT 証明書を提供する証明書ファイルを指定します。
    • --pkinit-cert-file - Kerberos KDC SSL の証明書および秘密鍵を提供します。
    • --pkinit-pin - Kerberos KDC の秘密鍵のロックを解除するパスワード。
    PKINIT 証明書を提供しないと、ipa-server-install は自己署名証明書を使用するローカル KDC で IdM サーバーを設定します。詳細は、27章IdM の Kerberos PKINIT 認証を参照してください。
--ca-cert-file を使用して提供されるファイルと、--dirsrv-cert-file--http-cert-file を使用して提供されるファイルには、LDAP および Apache のサーバー証明書を発行した CA の完全 CA 証明書チェーンが含まれる必要があります。
このオプションで使用できる証明書ファイル形式の詳細は、ipa-server-install(1) man ページを参照してください。
注記
表示されたコマンドラインオプションは、--external-ca オプションと互換性がありません。
注記
Identity Management の以前のバージョンでは、--root-ca-file オプションを使用してルート CA 証明書の PEM ファイルを指定していました。信頼される CA は常に DS および HTTP サーバー証明書の発行者であるため、これは不要になりました。IdM は、--dirsrv-cert-file--http-cert-file および --ca-cert-file で指定された証明書をもとに、ルート CA 証明書を自動的に認識するようになりました。

例2.3 CA なしで IdM サーバーをインストールするコマンドの例

[root@server ~]# ipa-server-install \
    --http-cert-file /tmp/server.crt \
    --http-cert-file /tmp/server.key \
    --http-pin secret \
    --dirsrv-cert-file /tmp/server.crt \
    --dirsrv-cert-file /tmp/server.key \
    --dirsrv-pin secret \
    --ca-cert-file ca.crt