28.2.3. 代替認証局の設定
IdM は、サーバーのインストールプロセス時に Dogtag Certificate System 認証局 (CA) を作成します。外部 CA を使用するには、必要なサーバー証明書を作成してから、IdM サーバー証明書を必要とする 389 Directory Server および HTTP サーバーにインポートすることができます。
ヒント
に従って、CA 証明書の ASCII コピーを
/usr/share/ipa/html/ca.crt
として保存します。これにより、ユーザーはブラウザーの設定時に正しい証明書をダウンロードできます。
- ipa-server-certinstall コマンドを使用して、証明書をインストールします。
# /usr/sbin/ipa-server-certinstall -d /path/to/pkcs12.p12
- Firefox でブラウザーの自動設定を使用し続けるには、
/usr/share/ipa/html/configure.jar
ファイルを再生成します。- ディレクトリーを作成し、そのディレクトリーに新しいセキュリティーデータベースを作成します。
# mkdir /tmp/signdb # certutil -N -d /tmp/signdb
- 署名証明書の PKCS #12 ファイルをそのディレクトリーにインポートします。
# pk12util -i /path/to/pkcs12.p12 -d /tmp/signdb
- 一時的な署名ディレクトリーを作成し、IdM JavaScript ファイルをそのディレクトリーにコピーします。
# mkdir /tmp/sign # cp /usr/share/ipa/html/preferences.html /tmp/sign
- オブジェクト署名証明書を使用して JavaScript ファイルに署名し、
configure.jar
ファイルを再生成します。# signtool -d /tmp/signdb -k Signing_cert_nickname -Z /usr/share/ipa/html/configure.jar -e .html /tmp/sign