8.2. Demande de certificats SSL sans authentification unique
Les services basés sur SSL nécessitent un certificat avec des enregistrements d'extension dNSName
qui couvrent tous les noms d'hôtes du système, car les enregistrements originaux (A/AAAA) et CNAME doivent figurer dans le certificat. Actuellement, IdM ne délivre des certificats qu'aux objets hôtes de la base de données IdM.
Dans la configuration décrite, sans authentification unique, IdM dispose déjà d'un objet hôte pour le FQDN dans la base de données, et certmonger
peut demander un certificat en utilisant ce nom.
Conditions préalables
- Installer et configurer le client IdM en suivant la procédure décrite dans la section Configuration d'un client IdM sans authentification unique Kerberos.
Procédure
Utilisez
certmonger
pour demander un certificat en utilisant le FQDN :[root@idm-client.ad.example.com ~]# ipa-getcert request -r \ -f /etc/httpd/alias/server.crt \ -k /etc/httpd/alias/server.key \ -N CN=ipa-client.ad.example.com \ -D ipa-client.ad.example.com \ -K host/idm-client.ad.example.com@IDM.EXAMPLE.COM \ -U id-kp-serverAuth
Le service certmonger
utilise la clé hôte par défaut stockée dans le fichier /etc/krb5.keytab
pour s'authentifier auprès de l'autorité de certification (AC) de l'IdM.