Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

8.4. 请求带有单点登录的 SSL 证书

在 IdM 客户端上禁用了严格的 Kerberos 主体检查后,您可以设置基于 SSL 的服务。基于 SSL 的服务需要带有 dNSName 扩展记录的证书,该扩展记录涵盖所有系统主机名,因为原始(A/AAAA)和 CNAME 记录都必须在证书里。目前,IdM 只对 IdM 数据库中的主机对象颁发证书。

按照以下流程,在 IdM 中为 ipa-client.example.com 创建主机对象,并确保实际的 IdM 机器的主机对象可以管理此主机。

先决条件

  • 您已禁用了针对 Kerberos 服务器所使用的 Kerberos 主体的严格检查。

流程

  1. 在 IdM 服务器上创建一个新的主机对象: 

    [root@idm-server.idm.example.com ~]# ipa host-add idm-client.ad.example.com --force
    Copy to Clipboard Toggle word wrap

    使用 --force 选项,因为主机名是 CNAME,而不是 A/AAAA 记录。

  2. 在 IdM 服务器上,允许 IdM DNS 主机名来管理 IdM 数据库中的活动目录主机条目: 

    [root@idm-server.idm.example.com ~]# ipa host-add-managedby idm-client.ad.example.com \
      --hosts=idm-client.idm.example.com
    Copy to Clipboard Toggle word wrap

  3. 现在,您可以为您的 IdM 客户端请求一个 SSL 证书,并带有在活动目录 DNS 域中其主机名称的 dNSName 扩展记录: 

    [root@idm-client.idm.example.com ~]# ipa-getcert request -r \
      -f /etc/httpd/alias/server.crt \
      -k /etc/httpd/alias/server.key \
      -N CN=`hostname --fqdn` \
      -D `hostname --fqdn` \
      -D idm-client.ad.example.com \
      -K host/idm-client.idm.example.com@IDM.EXAMPLE.COM \
      -U id-kp-serverAuth
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat