主页
产品
Red Hat Enterprise Linux
10
使用 Ansible 在 RHEL 中安装和管理身份管理
27.5. 使用 Ansible playbook 确保 IdM 服务条目中存在外部签名的证书

27.5. 使用 Ansible playbook 确保 IdM 服务条目中存在外部签名的证书

按照以下流程，使用 ansible-freeipa service 模块确保外部证书颁发机构(CA)发布的证书被附加到 HTTP 服务的 IdM 条目上。如果您的 IdM CA 使用自签名证书，则由外部 CA 而不是 IdM CA 签名的 HTTP 服务证书特别有用。

先决条件

在控制节点上：
- 您在使用 Ansible 版本 2.15 或更高版本。
- 已安装 freeipa.ansible_freeipa 集合。
- 示例假定在 ~/MyPlaybooks/ 目录中，您已创建了一个具有 IdM 服务器的完全限定域名(FQDN)的 Ansible 清单文件。
- 示例假定 secret.yml Ansible vault 存储了您的 ipaadmin_password，并且您可以访问存储了保护 secret.yml 文件的密码的文件。
目标节点（这是执行 freeipa.ansible_freeipa 模块的节点）是作为 IdM 客户端、服务器或副本的 IdM 域的一部分。
您已在主机上安装了 HTTP 服务。
您已在 IdM 中注册了 HTTP 服务。
您有一个外部签名的证书，其 Subject 对应于 HTTP 服务的主体。

流程

进入 ~/MyPlaybooks/ 目录：
```
cd ~/MyPlaybooks/
```
```
$ cd ~/MyPlaybooks/
```
Copy to Clipboard Toggle word wrap

从相关集合目录中生成 service-member-certificate-present.yml Ansible playbook 文件的副本。例如：

cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/service/service-member-certificate-present.yml service-member-certificate-present-copy.yml

$ cp /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/playbooks/service/service-member-certificate-present.yml service-member-certificate-present-copy.yml

Copy to Clipboard

Toggle word wrap

可选：如果证书采用 Privacy Enhanced Mail (PEM)格式，请将证书转换为可辨识的编码规则(DER)格式，以便通过命令行(CLI)更容易地处理：
```
openssl x509 -outform der -in cert1.pem -out cert1.der
```
```
$ openssl x509 -outform der -in cert1.pem -out cert1.der
```
Copy to Clipboard Toggle word wrap
使用 base64 命令将 DER 文件解码为标准输出。使用 -w0 选项禁用换行：
```
base64 cert1.der -w0
```
```
$ base64 cert1.der -w0
MIIC/zCCAeegAwIBAgIUV74O+4kXeg21o4vxfRRtyJm...
```
Copy to Clipboard Toggle word wrap
将证书从标准输出复制到剪贴板。

打开 service-member-certificate-present-copy.yml 文件进行编辑和查看其内容：

---
- name: Service certificate present.
  hosts: ipaserver
  gather_facts: false

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  # Ensure service certificate is present
  - freeipa.ansible_freeipa.ipaservice:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: HTTP/client.idm.example.com
      certificate: |
        - MIICBjCCAW8CFHnm32VcXaUDGfEGdDL/...
      [...]
      action: member
      state: present

---
- name: Service certificate present.
  hosts: ipaserver
  gather_facts: false

  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  tasks:
  # Ensure service certificate is present
  - freeipa.ansible_freeipa.ipaservice:
      ipaadmin_password: "{{ ipaadmin_password }}"
      name: HTTP/client.idm.example.com
      certificate: |
        - MIICBjCCAW8CFHnm32VcXaUDGfEGdDL/...
      [...]
      action: member
      state: present

Copy to Clipboard

Toggle word wrap

调整文件：
- 将使用 证书 变量定义的证书替换为您从 CLI 复制的证书。请注意，如果您使用带有所示"|"管道字符的 certificate: 变量，您可以输入证书 THIS WAY，而不是让它在一个行中输入。这样可以更轻松地读取证书。
- 更改由 ipaadmin_password 变量定义的 IdM 管理员密码。
- 更改运行 HTTP 服务的 IdM 客户端的名称，由 name 变量定义。
- 更改任何其他相关变量。
保存并退出文件。

运行 Ansible playbook。指定 playbook 文件、存储保护 secret.yml 文件的密码，以及清单文件：

ansible-playbook --vault-password-file=password_file -v -i inventory service-member-certificate-present-copy.yml

$ ansible-playbook --vault-password-file=password_file -v -i inventory service-member-certificate-present-copy.yml

Copy to Clipboard

Toggle word wrap

验证

以 IdM 管理员身份登录 IdM Web UI。
导航到 Identity Services。
使用新添加的证书，单击服务的名称，如 HTTP/client.idm.example.com。

在右侧的 Service Certificate 部分中，您现在可以看到新添加的证书。

返回顶部

27.5. 使用 Ansible playbook 确保 IdM 服务条目中存在外部签名的证书

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links