Capítulo 4. Instalação de um servidor IdM: Com DNS integrado, sem uma CA

A instalação de um novo servidor de Gerenciamento de Identidade (IdM) com DNS integrado tem as seguintes vantagens:

  • Você pode automatizar grande parte da manutenção e do gerenciamento de registros DNS usando ferramentas nativas da IdM. Por exemplo, os registros DNS SRV são criados automaticamente durante a configuração, e posteriormente são atualizados automaticamente.
  • Você pode ter uma conexão estável com o resto da Internet, instalando forwarders globais durante a instalação do servidor IdM. Os redirecionadores globais também são úteis para os fideicomissos com o Active Directory.
  • Você pode configurar uma zona reversa DNS para impedir que e-mails do seu domínio sejam considerados spam por servidores de e-mail fora do domínio IdM.

A instalação de IdM com DNS integrado tem certas limitações:

  • O IdM DNS não deve ser usado como um servidor DNS para fins gerais. Algumas das funções avançadas do DNS não são suportadas.

Este capítulo descreve como você pode instalar um novo servidor IdM sem uma autoridade de certificado (CA).

4.1. Certificados necessários para instalar um servidor IdM sem uma CA

Esta seção lista:

  • os certificados necessários para instalar um servidor de Gerenciamento de Identidade (IdM) sem uma autoridade de certificado (CA)
  • as opções de linha de comando utilizadas para fornecer esses certificados à concessionária ipa-server-install
Importante

Você não pode instalar um servidor ou réplica usando certificados de servidor de terceiros autoassinados porque os arquivos de certificados importados devem conter toda a cadeia de certificados da CA que emitiu os certificados de servidor LDAP e Apache.

O certificado do servidor LDAP e a chave privada
  • --dirsrv-cert-file para o certificado e arquivos chave privados para o certificado do servidor LDAP
  • --dirsrv-pin para obter a senha de acesso à chave privada nos arquivos especificados em --dirsrv-cert-file
O certificado de servidor Apache e chave privada
  • --http-cert-file para o certificado e arquivos chave privados para o certificado do servidor Apache
  • --http-pin para obter a senha de acesso à chave privada nos arquivos especificados em --http-cert-file
A cadeia completa de certificados CA da CA que emitiu os certificados de servidor LDAP e Apache
  • --dirsrv-cert-file e --http-cert-file para os arquivos de certificados com a cadeia completa de certificados CA ou uma parte dela

Você pode fornecer os arquivos especificados nas opções --dirsrv-cert-file e --http-cert-file nos seguintes formatos:

  • Certificado codificado de privacidade (PEM) codificado (RFC 7468). Observe que o instalador do Gerenciamento de Identidade aceita objetos concatenados codificados com PEM.
  • Regras de Codificação Distinta (DER)
  • PKCS #7 objetos de cadeia de certificados
  • PKCS #8 objetos chave privados
  • Arquivos PKCS #12

Você pode especificar as opções --dirsrv-cert-file e --http-cert-file várias vezes para especificar vários arquivos.

Os arquivos de certificados para completar a cadeia completa de certificados CA (não necessários em alguns ambientes)
  • --ca-cert-file para o arquivo ou arquivos contendo o certificado da CA que emitiu os certificados LDAP, Apache Server, e Kerberos KDC. Use esta opção se o certificado da CA não estiver presente nos arquivos de certificados fornecidos pelas outras opções.

Os arquivos fornecidos usando --dirsrv-cert-file e --http-cert-file combinados com o arquivo fornecido usando --ca-cert-file devem conter a cadeia completa de certificados da CA que emitiu os certificados de servidor LDAP e Apache.

O centro de distribuição de chaves Kerberos (KDC) certificado PKINIT e chave privada (opcional)
  • --pkinit-cert-file para o certificado Kerberos KDC SSL e chave privada
  • --pkinit-pin para obter a senha de acesso à chave privada do Kerberos KDC nos arquivos especificados em --pkinit-cert-file
  • --no-pkinit para desativar as etapas de configuração do pkinit

Se você não fornecer o certificado PKINIT, ipa-server-install configura o servidor IdM com um KDC local com um certificado autoassinado.

Recursos adicionais

  • Para obter detalhes sobre o formato do arquivo de certificado que estas opções aceitam, consulte o ipa-server-install(1) página de homem.