Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

26.8. 在现有 IdM 域中安装 CA

如果在没有证书颁发机构(CA)的情况下安装了 IdM 域,您可以随后安装 CA 服务。根据您的环境,您可以安装 IdM 证书服务器 CA 或使用外部 CA。
注意
有关支持的 CA 配置的详情,请参考 第 2.3.2 节 “确定要使用的 CA 配置”
安装 IdM 证书服务器
  1. 使用以下命令安装 IdM 证书服务器 CA: 
    [root@ipa-server ~] ipa-ca-install
  2. 在所有服务器和客户端上运行 ipa-certupdate 工具,以使用 LDAP 中的新证书的信息来更新它们。您必须为每个服务器和客户端单独运行 ipa-certupdate
    重要
    手动安装证书后始终运行 ipa-certupdate。如果不这样做,则证书不会分发到其他计算机上。
安装外部 CA
外部 CA 的后续安装由多个步骤组成:
  1. 启动安装: 
    [root@ipa-server ~] ipa-ca-install --external-ca
    在这一步后,显示保存了证书签名请求(CSR)。将 CSR 提交给外部 CA,并将发布的证书复制到 IdM 服务器。
  2. 继续安装,将证书和到外部 CA 文件的完整路径传递给 ipa-ca-install
    [root@ipa-server ~]# ipa-ca-install --external-cert-file=/root/master.crt --external-cert-file=/root/ca.crt
  3. 在所有服务器和客户端上运行 ipa-certupdate 工具,以使用 LDAP 中的新证书的信息来更新它们。您必须为每个服务器和客户端单独运行 ipa-certupdate
    重要
    手动安装证书后始终运行 ipa-certupdate。如果不这样做,则证书不会分发到其他计算机上。
CA 安装不会将 LDAP 和 Web 服务器的现有服务证书替换为由新安装的 CA 发布的证书。有关如何替换证书的详情请参考 第 26.9 节 “替换 Web 服务器和 LDAP 服务器的证书”