Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

32.7.4. シングルサインオンで SSL 証明書の要求

SSL ベースのサービスでは、元 (A/AAAA) のレコードと CNAME レコードの両方が証明書に含まれている必要があるため、すべてのシステムホスト名に対応する dNSName 拡張レコードを持つ証明書が必要です。現在、IdM は、IdM データベース内のオブジェクトをホストする証明書のみを発行します。

この手順では、IdM で ipa-client.example.com 用のホストオブジェクトを作成し、実際の IdM マシンのホストオブジェクトがこのホストを管理できるようにする方法を説明します。

前提条件

手順

  1. IdM サーバーに新しいホストオブジェクトを作成します。

    [root@idm-server.idm.example.com ~]# ipa host-add idm-client.ad.example.com --force

    ホスト名は CNAME であり、A/AAAA レコードではないため、--force オプションを使用します。

  2. IdM サーバーで、IdM DNS ホスト名が、IdM データベースの Active Directory ホストエントリーを管理できるようにします。

    [root@idm-server.idm.example.com ~]# ipa host-add-managedby idm-client.ad.example.com \
          --hosts=idm-client.idm.example.com
  3. これで、Active Directory DNS ドメイン内のホスト名にdNSName拡張レコードを使用して、IdM クライアントの SSL 証明書を要求できるようになります。

    [root@idm-client.idm.example.com ~]# ipa-getcert request -r \
          -f /etc/httpd/alias/server.crt \
          -k /etc/httpd/alias/server.key \
          -N CN=`hostname --fqdn` \
          -D `hostname --fqdn` \
          -D idm-client.ad.example.com \
          -K host/idm-client.idm.example.com@IDM.EXAMPLE.COM \
          -U id-kp-serverAuth