6.2. 統合 DNS を使用せず、外部 CA をルート CA として使用する IdM サーバーの対話型インストール

手順

1. --external-ca オプションを使用して ipa-server-install ユーティリティーを実行します。

   • Microsoft 証明書サービス (MS CS) CA を使用している場合は、--external-ca-type オプションと、任意で --external-ca-profile オプションを使用します。

     [root@server ~]# ipa-server-install --external-ca --external-ca-type=ms-cs --external-ca-profile=<oid>/<name>/default

     Copy to Clipboard Toggle word wrap

   • MS CS を使用して IdM CA の署名証明書を生成していない場合は、他のオプションは必要ありません。

     # ipa-server-install --external-ca

     Copy to Clipboard Toggle word wrap

2. スクリプトにより、統合 DNS サービスの設定が求められます。Enter を押して、no オプションを選択します。

   Do you want to configure integrated DNS (BIND)? [no]:

   Copy to Clipboard Toggle word wrap

3. このスクリプトでは、いくつかの設定を入力することが求められます。括弧で囲まれた値が推奨されるデフォルト値になります。

   • デフォルト値を使用する場合は Enter を押します。

   • カスタム値を指定する場合は、指定する値を入力します。

     Server host name [server.idm.example.com]:
     Please confirm the domain name [idm.example.com]:
     Please provide a realm name [IDM.EXAMPLE.COM]:

     Copy to Clipboard Toggle word wrap
     警告

     名前は慎重に指定してください。インストール完了後に変更することはできません。

4. Directory Server のスーパーユーザー (cn=Directory Manager) のパスワードと、IdM の管理システムユーザーアカウント (admin) のパスワードを入力します。

   Directory Manager password:
   IPA admin password:

   Copy to Clipboard Toggle word wrap

5. サーバー設定をする場合は、yes と入力します。

   Continue to configure the system with these values? [no]: yes

   Copy to Clipboard Toggle word wrap

6. Certificate System インスタンスの設定時、このユーティリティーが証明書署名要求 (CSR) の場所 (/root/ipa.csr) を出力します。

   ...
   
   Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
     [1/8]: creating certificate server user
     [2/8]: configuring certificate server instance
   The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
   /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate

   Copy to Clipboard Toggle word wrap

   この場合は、以下を行います。

   1. /root/ipa.csr にある CSR を外部 CA に提出します。このプロセスは、外部 CA として使用するサービスにより異なります。

   2. 発行した証明書と、Base64 エンコードされたブロブ (PEM ファイルか Windows CA からの Base_64 証明書) で CA を発行する CA 証明書チェーンを取得します。繰り返しになりますが、プロセスは各証明書サービスによって異なります。通常は Web ページか通知メールにダウンロードリンクがあり、管理者が必要なすべての証明書をダウンロードできるようになっています。

      重要

      CA 証明書のみではなく、CA 用の完全な証明書チェーンを取得してください。

   3. 新たに発行された CA 証明書と CA チェーンファイルの場所と名前を指定して ipa-server-install を再度実行します。以下に例を示します。

      # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem

      Copy to Clipboard Toggle word wrap
7. インストールスクリプトにより、サーバーが設定されます。動作が完了するまで待ちます。

8. インストールスクリプトは、以下の出力例の DNS リソースレコードでファイル (/tmp/ipa.system.records.UFRPto.db) を生成します。これらのレコードを既存の外部 DNS サーバーに追加します。DNS レコードの更新プロセスは、特定の DNS ソリューションによって異なります。

   ...
   Restarting the KDC
   Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
   Restarting the web server
   ...

   Copy to Clipboard Toggle word wrap
   重要

   既存の DNS サーバーに DNS レコードを追加するまで、サーバーのインストールは完了しません。