Red Hat Training

A Red Hat training course is available for RHEL 8

67.4. 使用 Ansible playbook,确保 IdM 服务条目中存在外部签名的证书

本节论述了如何使用 ansible-freeipa 服务 模块来确保外部证书颁发机构(CA)发布的证书附加到 HTTP 服务的 IdM 条目。如果您的 IdM CA 使用自签名证书,则由外部 CA 而不是 IdM CA 签名的 HTTP 服务证书特别有用。

先决条件

流程

  1. 创建一个清单文件,如 inventory.file

    $ touch inventory.file
  2. 打开 inventory.file,并在 [ipaserver] 部分中定义您要配置的 IdM 服务器。例如,要指示 Ansible 配置 server.idm.example.com,请输入:

    [ipaserver]
    server.idm.example.com
  3. 生成 /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present.yml 文件的副本,例如:

    $ cp /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present.yml /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present-copy.yml
  4. 可选: 如果证书采用 Privacy Enhanced Mail(PEM)格式,请将证书转换为可辨识的编码规则(DER)格式,以便通过命令行界面(CLI)更轻松地处理:

    $ openssl x509 -outform der -in cert1.pem -out cert1.der
  5. 使用 base64 命令将 DER 文件解码为标准输出。使用 -w0 选项禁用换行:

    $ base64 cert1.der -w0
    MIIC/zCCAeegAwIBAgIUV74O+4kXeg21o4vxfRRtyJm...
  6. 将证书从标准输出复制到剪贴板。
  7. 打开 /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present-copy.yml 文件进行编辑并查看其内容:

    ---
    - name: Service certificate present.
      hosts: ipaserver
      become: true
      gather_facts: false
    
      tasks:
      # Ensure service certificate is present
      - ipaservice:
          ipaadmin_password: MyPassword123
          name: HTTP/www.example.com
          certificate: |
            - MIICBjCCAW8CFHnm32VcXaUDGfEGdDL/...
          [...]
          action: member
          state: present
  8. 调整文件:

    • 将使用 证书 变量定义的证书替换为您从 CLI 复制的证书。请注意,如果您使用带有所示"|"管道字符的 certificate: 变量,您可以输入证书 THIS WAY,而不是让它在一个行中输入。这样可以更轻松地读取证书。
    • 更改由 ipaadmin_password 变量定义的 IdM 管理员密码。
    • 更改运行 HTTP 服务的 IdM 客户端的名称,由 name 变量定义。
    • 更改任何其他相关变量。
  9. 保存并退出文件。
  10. 运行指定 playbook 文件和清单文件的 Ansible playbook:

    $ ansible-playbook -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present-copy.yml

验证步骤

  1. 以 IdM 管理员身份登录 IdM Web UI。
  2. 导航到 IdentityServices
  3. 使用新添加的证书,单击服务的名称,如 HTTP/client.idm.example.com

在右侧的 Service Certificate 部分中,您现在可以看到新添加的证书。