26.6. HTTP または LDAP 用のサードパーティー証明書のインストール

Apache Web サーバー、Directory Server または両サーバー用に新規 SSL サーバーをインストールすると、現在の SSL 証明書が新しい証明書に置き換えられます。これには、以下が必要です。
  • SSL 秘密鍵 (以下の手順の ssl.key)
  • SSL 証明書 (以下の手順の ssl.crt)
鍵および証明書の対応形式に関する一覧は ipa-server-certinstall(1) の man ページを参照してください。

前提条件

ssl.crt 証明書は、証明書を読み込むサーバーが認識している CA で署名されている必要があります。そうでない場合には、「CA 証明書の手動インストール」の記載どおりにssl.crt を署名した CA の CA 証明書を IdM にインストールします。
これにより、IdM は CA を認識し、ssl.crt を受け入れます。

サードパーティー証明書のインストール

  1. ipa-server-certinstall ユーティリティーを使用して、証明書をインストールします。インストール先を指定します。
    • --http は Apache Web サーバーに証明書をインストールします。
    • --dirsrv は Directory Server に証明書をインストールします。
    たとえば、SSL 証明書を両サーバーにインストールするには以下を実行します。
    # ipa-server-certinstall --http --dirsrv ssl.key ssl.crt
  2. サーバーが証明書のインストール先で立ち上がるように起動します。
    • Apache Web サーバーの再起動
      # systemctl restart httpd.service
    • Directory Server の再起動
      # systemctl restart dirsrv@REALM.service
  3. 証明書が正しくインストールされていることを確認するには、証明書のデータベースに証明書が存在していることを確認します。
    • Apache 証明書データベースを表示します。
      # certutil -L -d /etc/httpd/alias
    • Directory Server 証明書データベースを表示します。
      # certutil -L -d /etc/dirsrv/slapd-REALM/