8.2. Single Sign-On 없이 SSL 인증서 요청
SSL 기반 서비스에는 원래(A/AAAA)와 CNAME 레코드가 모두 인증서에 있어야 하므로 모든 시스템 호스트 이름을 포함하는 dNSName
확장 레코드가 있는 인증서가 필요합니다. 현재 IdM은 IdM 데이터베이스의 오브젝트를 호스트하는 인증서만 발행합니다.
Single Sign-On을 사용할 수 없는 설명된 설정에서 IdM에는 데이터베이스에 FQDN의 호스트 오브젝트가 이미 있으며 certmonger
는 이 이름을 사용하여 인증서를 요청할 수 있습니다.
사전 요구 사항
절차
certmonger
를 사용하여 FQDN을 사용하여 인증서를 요청합니다.[root@idm-client.ad.example.com ~]# ipa-getcert request -r \ -f /etc/httpd/alias/server.crt \ -k /etc/httpd/alias/server.key \ -N CN=ipa-client.ad.example.com \ -D ipa-client.ad.example.com \ -K host/idm-client.ad.example.com@IDM.EXAMPLE.COM \ -U id-kp-serverAuth
certmonger
서비스는 /etc/krb5.keytab
파일에 저장된 기본 호스트 키를 사용하여 IdM CA(인증 기관)에 인증합니다.