Chapitre 6. Installation d'un serveur IdM : Sans DNS intégré, avec une autorité de certification externe comme autorité de certification racine
Ce chapitre décrit comment installer un nouveau serveur de gestion des identités (IdM), sans DNS intégré, qui utilise une autorité de certification externe comme autorité de certification racine.
Red Hat recommande fortement d'installer le DNS intégré à l'IdM pour une utilisation de base dans le cadre du déploiement de l'IdM : Lorsque le serveur IdM gère également le DNS, il existe une intégration étroite entre le DNS et les outils IdM natifs, ce qui permet d'automatiser une partie de la gestion des enregistrements DNS.
Pour plus de détails, voir Planification des services DNS et des noms d'hôtes.
6.1. Options utilisées lors de l'installation d'une autorité de certification IdM avec une autorité de certification externe en tant qu'autorité de certification racine
Vous pouvez installer une autorité de certification (AC) Identity Management IdM avec une AC externe en tant qu'AC racine si l'une des conditions suivantes s'applique :
-
Vous installez un nouveau serveur IdM ou une nouvelle réplique à l'aide de la commande
ipa-server-install. -
Vous installez le composant CA dans un serveur IdM existant à l'aide de la commande
ipa-ca-install.
Cette section décrit les options des deux commandes que vous pouvez utiliser pour créer une demande de signature de certificat (CSR) lors de l'installation d'une autorité de certification IdM avec une autorité de certification externe en tant qu'autorité de certification racine.
- --external-ca-type=TYPE
-
Type de l'AC externe. Les valeurs possibles sont
genericetms-cs. La valeur par défaut estgeneric. Utilisezms-cspour inclure un nom de modèle requis par Microsoft Certificate Services (MS CS) dans la RSC générée. Pour utiliser un profil autre que celui par défaut, utilisez l'option--external-ca-profileen conjonction avec--external-ca-type=ms-cs. - --profil-ca-externe=PROFILE_SPEC
Spécifiez le profil ou le modèle de certificat que vous souhaitez que MS CS applique lors de l'émission du certificat pour votre autorité de certification IdM.
Notez que l'option
--external-ca-profilene peut être utilisée que si--external-ca-typeest ms-cs.Vous pouvez identifier le modèle MS CS de l'une des manières suivantes :
-
<oid>:<majorVersion>[:<minorVersion>]. Vous pouvez spécifier un modèle de certificat par son identifiant d'objet (OID) et sa version majeure. Vous pouvez également spécifier la version mineure. -
<name>. Vous pouvez spécifier un modèle de certificat par son nom. Le nom ne peut pas contenir de caractères : et ne peut pas être un OID, sinon la syntaxe du spécificateur de modèle basé sur l'OID est prioritaire. -
default. Si vous utilisez ce spécificateur, le nom du modèleSubCAest utilisé.
-
Dans certains scénarios, l'administrateur Active Directory (AD) peut utiliser le modèle Subordinate Certification Authority (SCA), qui est un modèle intégré dans AD CS, pour créer un modèle unique afin de mieux répondre aux besoins de l'organisation. Le nouveau modèle peut, par exemple, avoir une période de validité et des extensions personnalisées. L'identifiant d'objet (OID) associé se trouve dans la console AD Certificates Template.
Si l'administrateur AD a désactivé le modèle original intégré, vous devez spécifier l'OID ou le nom du nouveau modèle lorsque vous demandez un certificat pour votre autorité de certification IdM. Demandez à votre administrateur AD de vous fournir le nom ou l'OID du nouveau modèle.
Si le modèle SCA AD CS d'origine est toujours activé, vous pouvez l'utiliser en spécifiant --external-ca-type=ms-cs sans utiliser en plus l'option --external-ca-profile. Dans ce cas, le profil de l'autorité de certification externe subCA est utilisé, qui est le modèle IdM par défaut correspondant au modèle SCA AD CS.
