8.4. 请求带有单点登录的 SSL 证书
基于 SSL 的服务需要带有 dNSName 扩展记录的证书,该扩展记录涵盖所有系统主机名,因为原始(A/AAAA)和 CNAME 记录都必须在证书里。目前,IdM 只对 IdM 数据库中的主机对象颁发证书。
按照以下流程,在 IdM 中为 ipa-client.example.com 创建主机对象,并确保实际的 IdM 机器的主机对象可以管理此主机。
先决条件
- 您已禁用了针对 Kerberos 主机的 Kerberos 主体的目严格检查,如 配置带有 Kerberos 单点登录的 IdM 客户端 中所述。
步骤
在 IdM 服务器上创建一个新的主机对象:
[root@idm-server.idm.example.com ~]# ipa host-add idm-client.ad.example.com --force
使用
--force选项,因为主机名是 CNAME,而不是 A/AAAA 记录。在 IdM 服务器上,允许 IdM DNS 主机名来管理 IdM 数据库中的活动目录主机条目:
[root@idm-server.idm.example.com ~]# ipa host-add-managedby idm-client.ad.example.com \ --hosts=idm-client.idm.example.com现在,您可以为您的 IdM 客户端请求一个 SSL 证书,并带有在活动目录 DNS 域中其主机名称的
dNSName扩展记录:[root@idm-client.idm.example.com ~]# ipa-getcert request -r \ -f /etc/httpd/alias/server.crt \ -k /etc/httpd/alias/server.key \ -N CN=`hostname --fqdn` \ -D `hostname --fqdn` \ -D idm-client.ad.example.com \ -K host/idm-client.idm.example.com@IDM.EXAMPLE.COM \ -U id-kp-serverAuth
