8.2. シングルサインオンなしで SSL 証明書の要求
Kerberos シングルサインオンを使用しない IdM クライアントを設定した後、SSL ベースのサービスを設定できます。
SSL ベースのサービスでは、元 (A/AAAA) のレコードと CNAME レコードの両方が証明書に含まれている必要があるため、すべてのシステムホスト名に対応する dNSName
拡張レコードを持つ証明書が必要です。現在、IdM は、IdM データベース内のオブジェクトをホストする証明書のみを発行します。
この設定では、シングルサインオンが有効になっていませんが、IdM のデータベースに FQDN のホストオブジェクトがすでに含まれています。certmonger
を使用し、FQDN を使用して証明書をリクエストできます。
前提条件
- Kerberos シングルサインオンなしで設定された IdM クライアント。
手順
certmonger
を使用して、FQDN を使用して証明書をリクエストします。[root@idm-client.ad.example.com ~]# ipa-getcert request -r \ -f /etc/httpd/alias/server.crt \ -k /etc/httpd/alias/server.key \ -N CN=ipa-client.ad.example.com \ -D ipa-client.ad.example.com \ -K host/idm-client.ad.example.com@IDM.EXAMPLE.COM \ -U id-kp-serverAuth
certmonger
サービスは、/etc/krb5.keytab
ファイルに保存されているデフォルトのホストキーを使用して、IdM 認証局 (CA) に対して認証を行います。