26.8. 既存の IdM ドメインへの CA のインストール
IdM ドメインが認証局 (CA) なしでインストールされている場合は、後で CA サービスをインストールできます。環境に応じて、IdM Certificate Server CA をインストールするか、外部 CA を使用します。
注記
サポート対象の CA 設定の詳細は、「使用する CA 設定の決定」 を参照してください。
- IdM 証明書サーバーのインストール
- 以下のコマンドを使用して、IdM Certificate Server CA をインストールします。
[root@ipa-server ~] ipa-ca-install
- すべてのサーバーとクライアントで
ipa-certupdate
ユーティリティーを実行し、LDAP から新しい証明書に関する情報で更新します。すべてのサーバーとクライアントでipa-certupdate
を実行する必要があります。重要証明書を手動でインストールした後は、常にipa-certupdate
を実行します。これがない場合、証明書は他のマシンに配布されません。
- 外部 CA のインストール
- 外部 CA の後続のインストールは、複数の手順で設定されます。
- インストールを開始します。
[root@ipa-server ~] ipa-ca-install --external-ca
このステップの後に、証明書署名要求 (CSR) が保存されていることを示す情報が表示されます。CSR を外部 CA に送信し、発行した証明書を IdM サーバーにコピーします。 - 外部 CA ファイルへの証明書および完全パスを
ipa-ca-install
に渡してインストールを続行します。[root@ipa-server ~]# ipa-ca-install --external-cert-file=/root/master.crt --external-cert-file=/root/ca.crt
- すべてのサーバーとクライアントで
ipa-certupdate
ユーティリティーを実行し、LDAP から新しい証明書に関する情報で更新します。すべてのサーバーとクライアントでipa-certupdate
を実行する必要があります。重要証明書を手動でインストールした後は、常にipa-certupdate
を実行します。これがない場合、証明書は他のマシンに配布されません。
CA インストールは、LDAP および Web サーバーの既存のサービス証明書を、新規インストールした CA により発行された証明書に置き換えません。証明書を置き換える方法は、「Web サーバーの証明書および LDAP サーバーの証明書の置き換え」 を参照してください。