Capítulo 6. Instalação de um servidor IdM: Sem DNS integrado, com uma CA externa como a CA raiz

Procedimento

1. Execute o utilitário ipa-server-install com a opção --external-ca.

   # ipa-server-install --external-ca

   Copy to Clipboard Toggle word wrap

   Se você estiver usando o Microsoft Certificate Services CA, use também a opção --external-ca-type. Para detalhes, consulte a página de manual ipa-server-install(1).

2. O script solicita a configuração de um serviço DNS integrado. Pressione Enter para selecionar a opção padrão no.

   Você deseja configurar o DNS integrado (BIND)? [não]:

   Copy to Clipboard Toggle word wrap

3. O script solicita várias configurações necessárias e oferece os valores padrão recomendados entre parênteses.

   • Para aceitar um valor padrão, pressione Enter.

   • Para fornecer um valor personalizado, digite o valor requerido.

     Server host name [server.example.com]:
     Please confirm the domain name [example.com]:
     Please provide a realm name [EXAMPLE.COM]:

     Copy to Clipboard Toggle word wrap
     Atenção

     Planeje cuidadosamente estes nomes. Você não poderá alterá-los após a conclusão da instalação.

4. Digite as senhas para o superusuário Directory Server (cn=Directory Manager) e para a conta de usuário do sistema de administração IdM (admin).

   Directory Manager password:
   IPA admin password:

   Copy to Clipboard Toggle word wrap

5. Digite yes para confirmar a configuração do servidor.

   Continuar a configurar o sistema com estes valores? [não] yes

   Copy to Clipboard Toggle word wrap

6. Durante a configuração da instância do Sistema de Certificado, o utilitário imprime o local do pedido de assinatura do certificado (CSR): /root/ipa.csr:

   ...
   
   Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
     [1/8]: creating certificate server user
     [2/8]: configuring certificate server instance
   The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
   /sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate

   Copy to Clipboard Toggle word wrap

   Quando isto acontece:

   1. Submeter a RSE localizada em /root/ipa.csr à CA externa. O processo difere dependendo do serviço a ser usado como a CA externa.

   2. Recuperar o certificado emitido e a cadeia de certificados da CA para a CA emissora em um blob básico 64 codificado (um arquivo PEM ou um certificado Base_64 de uma CA Windows). Novamente, o processo difere para cada serviço de certificado. Normalmente, um link para download em uma página da web ou no e-mail de notificação permite ao administrador baixar todos os certificados exigidos.

      Importante

      Certifique-se de obter a cadeia completa de certificados para a CA, não apenas o certificado da CA.

   3. Execute ipa-server-install novamente, desta vez especificando os locais e nomes do certificado recém-emitido da CA e os arquivos da cadeia da CA. Por exemplo, o arquivo de corrente da CA:

      # ipa-server-install --external-cert-file=/tmp/servercert20170601.pem --external-cert-file=/tmp/cacert.pem

      Copy to Clipboard Toggle word wrap
7. O roteiro de instalação agora configura o servidor. Aguarde que a operação seja concluída.

8. O script de instalação produz um arquivo com registros de recursos DNS: the /tmp/ipa.system.records.UFRPto.db arquivo no exemplo de saída abaixo. Acrescente estes registros aos servidores DNS externos existentes. O processo de atualização dos registros DNS varia de acordo com a solução DNS específica.

   ...
   Restarting the KDC
   Please add records in this file to your DNS system: /tmp/ipa.system.records.UFRBto.db
   Restarting the web server
   ...

   Copy to Clipboard Toggle word wrap
   Importante

   A instalação do servidor não está completa até que você adicione os registros DNS aos servidores DNS existentes.