Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for RHEL 8

第 4 章 安装 IdM 服务器:使用集成的 DNS,没有 CA

安装带有集成 DNS 的新的身份管理(IdM)服务器有以下优点:

  • 您可以使用原生 IdM 工具自动执行大多数维护和 DNS 记录管理。例如:在设置过程中自动创建 DNS SRV 记录,之后会自动更新。
  • 在安装 IdM 服务器的过程中,您可以通过设置全局转发程序来与互联网的其余部分保持稳定连接。全局转发器对 Active Directory 的信任也很有用。
  • 您可以设置 DNS 反向区域,以防止来自您的域的电子邮件被 IdM 域之外的电子邮件服务器视为垃圾邮件。

安装带有集成 DNS 的 IdM 有一定的限制:

  • IdM DNS 并不意味着用作通用的 DNS 服务器。不支持某些高级 DNS 功能。

本章描述了如何安装没有证书颁发机构(CA)的新 IdM 服务器。

4.1. 安装没有 CA 的 IdM 服务器所需的证书

本节列出了在没有证书颁发机构(CA)的情况下安装身份管理(IdM)服务器所需的证书,以及用于向 ipa-server-install 工具提供这些证书的命令行选项。

重要

您不能使用自签名的第三方服务器证书来安装服务器或副本,因为导入的证书文件必须包含签发 LDAP 和 Apache 服务器证书的 CA 的完整 CA 证书链。

LDAP 服务器证书和私钥
  • --dirsrv-cert-file 用于 LDAP 服务器证书的证书和私钥文件
  • --dirsrv-pin 用于访问 --dirsrv-cert-file中指定的文件中的私钥的密码
Apache 服务器证书和私钥
  • --http-cert-file 用于 Apache 服务器证书的证书和私钥文件
  • --http-pin,用于访问 --http-cert-file中指定的文件中的私钥的密码
发布 LDAP 和 Apache 服务器证书的 CA 完整 CA 证书链
  • --dirsrv-cert-file--http-cert-file用于具有完整 CA 证书链或部分证书链的证书文件

您可以提供在 --dirsrv-cert-file--http-cert-file 选项中指定的以下格式的文件:

  • Privacy-Enhanced Mail(PEM)编码的证书(RFC 7468)。请注意,身份管理安装程序接受串联的 PEM 编码的对象。
  • 区分编码规则(DER)
  • PKCS #7 证书链对象
  • PKCS #8 私钥对象
  • PKCS #12 归档

您可以多次指定 --dirsrv-cert-file--http-cert-file 选项来指定多个文件。

完成完整 CA 证书链的证书文件(某些环境中不需要)
  • --ca-cert-file 用于包含签发 LDAP、Apache 服务器和 Kerberos KDC 证书的 CA 证书的一个或多个文件。如果其他选项提供的证书文件中没有 CA 证书,请使用这个选项。

使用 --dirsrv-cert-file--http-cert-file 以及 --ca-cert-file 提供的文件必须包含签发 LDAP 和 Apache 服务器证书的 CA 的完整 CA 证书链。

Kerberos 密钥分发中心(KDC) PKINIT 证书和私钥(可选)
  • --pkinit-cert-file 用于 Kerberos KDC SSL 证书和私钥
  • --pkinit-pin 用于访问 --pkinit-cert-file 文件中指定的 Kerberos KDC 私钥的密码
  • --no-pkinit 用于禁用 pkinit 设置步骤

如果您不提供 PKINIT 证书,ipa-server-install 使用带有自签名证书的本地 KDC 来配置 IdM 服务器。

其它资源

  • 有关证书文件接受哪些选项的详情,请参见 ipa-server-install(1)手册页。
  • 有关创建 RHEL IdM PKINIT 证书所需的 PKINIT 扩展的详细信息,请参阅 本文