8.4. Demande de certificats SSL avec l'authentification unique
Les services basés sur SSL nécessitent un certificat avec des enregistrements d'extension dNSName
qui couvrent tous les noms d'hôtes du système, car les enregistrements originaux (A/AAAA) et CNAME doivent figurer dans le certificat. Actuellement, IdM ne délivre des certificats qu'aux objets hôtes de la base de données IdM.
Cette procédure décrit comment créer un objet hôte pour ipa-client.example.com
dans IdM et s'assurer que l'objet hôte de la machine IdM réelle est capable de gérer cet hôte.
Conditions préalables
- Vous avez désactivé les contrôles stricts du principal Kerberos utilisé pour cibler le serveur Kerberos, comme indiqué dans la section Configuration d'un client IdM avec authentification unique Kerberos.
Procédure
Créer un nouvel objet hôte sur le serveur IdM :
[root@idm-server.idm.example.com ~]# ipa host-add idm-client.ad.example.com --force
Utilisez l'option
--force
, car le nom d'hôte est un CNAME et non un enregistrement A/AAAA.Sur le serveur IdM, autoriser le nom d'hôte DNS IdM à gérer l'entrée d'hôte Active Directory dans la base de données IdM :
[root@idm-server.idm.example.com ~]# ipa host-add-managedby idm-client.ad.example.com \ --hosts=idm-client.idm.example.com
Vous pouvez maintenant demander un certificat SSL pour votre client IdM avec l'enregistrement d'extension
dNSName
pour son nom d'hôte dans le domaine DNS Active Directory :[root@idm-client.idm.example.com ~]# ipa-getcert request -r \ -f /etc/httpd/alias/server.crt \ -k /etc/httpd/alias/server.key \ -N CN=`hostname --fqdn` \ -D `hostname --fqdn` \ -D idm-client.ad.example.com \ -K host/idm-client.idm.example.com@IDM.EXAMPLE.COM \ -U id-kp-serverAuth