26.6. 为 HTTP 或 LDAP 安装第三方证书
为 Apache Web 服务器和 Directory 服务器安装新的 SSL 服务器证书,或两者均将当前 SSL 证书替换为新的 SSL 证书。要做到这一点,您需要:
- 您的私有 SSL 密钥(以下流程中的
ssl.key
) - 您的 SSL 证书(以下流程中的
ssl.crt
)
有关接受密钥和证书的格式列表,请查看 ipa-server-certinstall(1) man page。
先决条件
ssl.crt
证书必须由您要载入证书的服务已知的 CA 签名。如果没有这种情况,请将签名 ssl.crt
的 CA 的 CA 证书安装到 IdM 中,如 第 26.3 节 “手动安装 CA 证书” 所述。
这样可确保 IdM 识别 CA,因此接受
ssl.crt
。
安装第三方证书
- 使用
ipa-server-certinstall
工具安装证书。指定您要安装的位置:--HTTP
在 Apache Web 服务器中安装证书--dirsrv
在目录服务器上安装证书
例如,要将 SSL 证书安装到两者中:# ipa-server-certinstall --http --dirsrv ssl.key ssl.crt
- 重新启动您安装证书的服务器。
- 重启 Apache Web 服务器:
# systemctl restart httpd.service
- 重启目录服务器:
# systemctl restart dirsrv@REALM.service
- 要验证证书是否已正确安装,请确保它存在于证书数据库中。
- 显示 Apache 证书数据库:
# certutil -L -d /etc/httpd/alias
- 显示 Directory 服务器证书数据库:
# certutil -L -d /etc/dirsrv/slapd-REALM/