3.4.3. CA なしでのインストール
非常にまれなケースでは、Identity Management サーバーで証明書サービスをインストールすることができない場合があります。このような場合には、証明書を作成して、個別にインストールしている限り、統合された証明書システムインスタンスなしで Identity Management をインストールできます。
インストールには、3 つの証明書が必要です。
- LDAP サーバー証明書
- Apache サーバー証明書
- LDAP サーバー証明書
この証明書は、インストールプロセスの開始 前 に、サードパーティーの認証局から要求する必要があります。
Dogtag Certificate System システムインスタンスが統合されていない場合に、証明書の管理方法には重要な制限事項があります。
- 証明書の追跡に certmonger が使用されないので、有効期限の警告はありません。
- Identity Management で証明書を更新する方法はありません。
- 証明書管理ツール (ipa cert-*) は、証明書の表示や管理には使用できません。
- ホスト証明書とサービス証明書はすべて、手動で要求、生成、アップロードする必要があります。これは、ipa host-add などのホスト管理ツールが機能する仕組みにも影響します。
- 証明書がエントリーから削除されても、自動的に取り消されません。
重要
CA 設定は、ドメインの作成後に変更したり、別の設定に移行したりできません。インストールプロセスの開始前に CA 要件を考慮する必要があります。
例3.3 CA を使用しない Identity Management のインストール
CA を使用せずにインストールする場合には、必須オプションが 5 つあり、必要な証明書を設定プロセスに直接渡す必要があります。
- LDAP サーバー証明書
- --dirsrv_pkcs12 (LDAP サーバー証明書の PKCS#12 証明書ファイルを指定)
- --dirsrv_pin (PKCS#12 ファイルにアクセスするパスワードを指定)
- Apache サーバーの証明書
- --http_pkcs12 (Apache サーバー証明書の PKCS#12 証明書ファイルを指定)
- --http_pin (PKCS#12 ファイルにアクセスするパスワードを指定)
- ルート CA 証明書 (Apache および LDAP サーバーの証明書をドメイン全体で信頼できるようにする)
[root@server ~]# ipa-server-install --http_pkcs12 /tmp-http-server.p12 --http_pin secret1 --dirsrv_pkcs12 /tmp/ldap-server.p12 --dirsrv_pin secret2 ...