Red Hat Training
A Red Hat training course is available for RHEL 8
85.5. 使用 Ansible playbook 确保 IdM 服务条目中存在外部签名的证书
按照以下流程,使用 ansible-freeipa service 模块确保外部证书颁发机构(CA)发布的证书附加到 HTTP 服务的 IdM 条目。如果您的 IdM CA 使用自签名证书,则由外部 CA 而不是 IdM CA 签名的 HTTP 服务证书特别有用。
先决条件
- 您已在主机上 安装了 HTTP 服务。
- 您已 将 HTTP 服务注册到 IdM。
- 您有 IdM 管理员密码。
- 您有一个外部签名的证书,其 Subject 对应于 HTTP 服务的主体。
流程
创建一个清单文件,如
inventory.file:$ touch inventory.file打开
inventory.file,并在[ipaserver]部分中定义您要配置的 IdM 服务器。例如,要指示 Ansible 配置 server.idm.example.com,请输入:[ipaserver] server.idm.example.com
生成
/usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present.yml文件的副本,例如:$ cp /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present.yml /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present-copy.yml可选: 如果证书采用 Privacy Enhanced Mail(PEM)格式,请将证书转换为可辨识的编码规则(DER)格式,以便通过命令行界面(CLI)更轻松地处理:
$ openssl x509 -outform der -in cert1.pem -out cert1.der使用
base64命令将DER文件解码为标准输出。使用-w0选项禁用换行:$ base64 cert1.der -w0 MIIC/zCCAeegAwIBAgIUV74O+4kXeg21o4vxfRRtyJm...- 将证书从标准输出复制到剪贴板。
打开
/usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present-copy.yml文件进行编辑并查看其内容:--- - name: Service certificate present. hosts: ipaserver gather_facts: false vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: # Ensure service certificate is present - ipaservice: ipaadmin_password: "{{ ipaadmin_password }}" name: HTTP/client.idm.example.com certificate: | - MIICBjCCAW8CFHnm32VcXaUDGfEGdDL/... [...] action: member state: present调整文件:
-
将使用
证书变量定义的证书替换为您从 CLI 复制的证书。请注意,如果您使用带有所示"|"管道字符的certificate:变量,您可以输入证书 THIS WAY,而不是让它在一个行中输入。这样可以更轻松地读取证书。 -
更改由
ipaadmin_password变量定义的 IdM 管理员密码。 -
更改运行 HTTP 服务的 IdM 客户端的名称,由
name变量定义。 - 更改任何其他相关变量。
-
将使用
- 保存并退出文件。
运行 Ansible playbook。指定 playbook 文件、存储密码的文件保护 secret.yml 文件以及清单文件:
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present-copy.yml
验证步骤
- 以 IdM 管理员身份登录 IdM Web UI。
-
导航到
Identity→Services。 - 使用新添加的证书,单击服务的名称,如 HTTP/client.idm.example.com。
在右侧的 Service Certificate 部分中,您现在可以看到新添加的证书。
