26.5. 使用 Ansible playbook 确保 IdM 服务条目中存在外部签名的证书

按照以下流程,使用 ansible-freeipa service 模块确保外部证书颁发机构(CA)发布的证书被附加到 HTTP 服务的 IdM 条目上。如果您的 IdM CA 使用自签名的证书,则拥有由外部 CA 而不是 IdM CA 签名的 HTTP 服务证书特别有用。

先决条件

流程

  1. 创建一个清单文件,如 inventory.file

    $ touch inventory.file
  2. 打开 inventory.file,并在 [ipaserver] 部分中定义您要配置的 IdM 服务器。例如,要指示 Ansible 配置 server.idm.example.com,请输入:

    [ipaserver]
    server.idm.example.com
  3. 生成 /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present.yml 文件的一个副本,例如:

    $ cp /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present.yml /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present-copy.yml
  4. 可选:如果证书采用 Privacy Enhanced Mail(PEM)格式,请将证书转换为可辨识的编码规则(DER)格式,以便可通过命令行界面(CLI)轻松地处理:

    $ openssl x509 -outform der -in cert1.pem -out cert1.der
  5. 使用 base64 命令将 DER 文件解码为标准输出。使用 -w0 选项禁用换行:

    $ base64 cert1.der -w0
    MIIC/zCCAeegAwIBAgIUV74O+4kXeg21o4vxfRRtyJm...
  6. 将证书从标准输出复制到剪贴板。
  7. 打开 /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present-copy.yml 文件进行编辑,并查看其内容:

    ---
    - name: Service certificate present.
      hosts: ipaserver
      gather_facts: false
    
      vars_files:
      - /home/user_name/MyPlaybooks/secret.yml
      tasks:
      # Ensure service certificate is present
      - ipaservice:
          ipaadmin_password: "{{ ipaadmin_password }}"
          name: HTTP/client.idm.example.com
          certificate: |
            - MIICBjCCAW8CFHnm32VcXaUDGfEGdDL/...
          [...]
          action: member
          state: present
  8. 修改文件:

    • 将使用 certificate 变量定义的证书替换为您从 CLI 复制的证书。请注意,如果您使用带有"|"管道字符的 certificate: 变量,则您可以按此方式输入证书 ,而不是将其输入在一行中。这样可以更轻松地读取证书。
    • 更改由 ipaadmin_password 变量定义的 IdM 管理员密码。
    • 更改由 name 变量定义的、在其上运行 HTTP 服务的 IdM 客户端的名称。
    • 更改任何其他相关的变量。
  9. 保存并退出文件。
  10. 运行 Ansible playbook。指定 playbook 文件、存储保护 secret.yml 文件的密码,以及清单文件:

    $ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present-copy.yml

验证步骤

  1. 以 IdM 管理员的身份登录到 IdM Web UI。
  2. 导航到 IdentityServices
  3. 点击带有新添加的证书的服务的名称,如 HTTP/client.idm.example.com

在右侧的 Service Certificate 部分中,您现在可以看到新添加的证书。