26.5. 使用 Ansible playbook 确保 IdM 服务条目中存在外部签名的证书
按照以下流程,使用 ansible-freeipa service 模块确保外部证书颁发机构(CA)发布的证书附加到 HTTP 服务的 IdM 条目。如果您的 IdM CA 使用自签名证书,由外部 CA 签名的 HTTP 服务证书而不是 IdM CA 特别有用。
先决条件
- 您在主机上已 安装了 HTTP 服务。
- 您已 向 IdM 中注册了 HTTP 服务。
- 您有 IdM 管理员密码。
- 您有一个外部签名证书,其 Subject 对应于 HTTP 服务的主体。
流程
创建一个清单文件,如
inventory.file:$ touch inventory.file打开
inventory.file,并在[ipaserver]部分定义您要配置的 IdM 服务器。例如,要指示 Ansible 配置 server.idm.example.com,请输入:[ipaserver] server.idm.example.com
复制
/usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present.yml文件,例如:$ cp /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present.yml /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present-copy.yml可选:如果证书采用 Privacy Enhanced 邮件(PEM)格式,请将证书转换为可辨识的 Encoding 规则(DER)格式,以便通过命令行界面(CLI)更容易处理:
$ openssl x509 -outform der -in cert1.pem -out cert1.der使用
base64命令,解码DER文件到标准输出。使用-w0选项禁用嵌套:$ base64 cert1.der -w0 MIIC/zCCAeegAwIBAgIUV74O+4kXeg21o4vxfRRtyJm...- 将标准输出中的证书复制到剪贴板。
打开
/usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present-copy.yml文件,进行编辑并查看其内容:--- - name: Service certificate present. hosts: ipaserver gather_facts: false vars_files: - /home/user_name/MyPlaybooks/secret.yml tasks: # Ensure service certificate is present - ipaservice: ipaadmin_password: "{{ ipaadmin_password }}" name: HTTP/client.idm.example.com certificate: | - MIICBjCCAW8CFHnm32VcXaUDGfEGdDL/... [...] action: member state: present改写文件:
-
使用您从 CLI 复制的证书替换由
certificate变量定义的证书。请注意,如果使用certificate:变量,并带有"|"管道字符,您可以使用这个方式输入证书,而不必在一行中输入它。这样可以更轻松地读取证书。 -
更改由
ipaadmin_password变量定义的 IdM 管理员密码。 -
更改运行 HTTP 服务的 IdM 客户端的名称,由
name变量定义。 - 更改任何其他相关变量。
-
使用您从 CLI 复制的证书替换由
- 保存并退出 文件。
运行 Ansible playbook。指定 playbook 文件、存储保护 secret.yml 文件的密码,以及清单文件:
$ ansible-playbook --vault-password-file=password_file -v -i path_to_inventory_directory/inventory.file /usr/share/doc/ansible-freeipa/playbooks/service/service-member-certificate-present-copy.yml
验证步骤
- 以 IdM 管理员身份登录 IdM Web UI。
-
进入到
Identity→Services。 - 点带有新添加的证书的服务名称,如 HTTP/client.idm.example.com。
在右侧的 Service Certificate 部分,您可以看到新添加的证书。
