27.3. 在 IdM 中配置 PKINIT

如果您的 IdM 服务器在禁用 PKINIT 的情况下运行，请使用以下步骤启用它。例如，如果您使用 ipa-server-install 或 ipa-replica-install 工具传递 --no-pkinit 选项，则禁用 PKINIT 的服务器。

先决条件

确保所有安装了证书颁发机构(CA)的 IdM 服务器都在同一域级别运行。详情请查看第 7 章 显示和提升域级别。

步骤

如果您在没有 CA 的情况下使用 IdM，请使用 ipa-server-certinstall 工具安装外部 Kerberos 密钥分发中心(KDC)证书。KDC 证书必须满足以下条件：
- 它使用通用名称 CN=fully_qualified_domain_name,certificate_subject_base 发布。
- 它包括 Kerberos 主体 krbtgt/REALM_NAME@REALM_NAME。
- 它包含用于 KDC 验证的对象标识符(OID)：1.3.6.1.5.2.3.5.
```
ipa-server-certinstall --kdc kdc.pem
systemctl restart krb5kdc.service
```
```
# ipa-server-certinstall --kdc kdc.pem
# systemctl restart krb5kdc.service
```
Copy to Clipboard Toggle word wrap
详情请查看 ipa-server-certinstall(1) man page。

启用 PKINIT:

ipa-pkinit-manage enable

$ ipa-pkinit-manage enable
Configuring Kerberos KDC (krb5kdc)
  [1/1]: installing X509 Certificate for PKINIT
Done configuring Kerberos KDC (krb5kdc).
The ipa-pkinit-manage command was successful

Copy to Clipboard

Toggle word wrap

如果您使用 IdM CA，命令会从 CA 请求 PKINIT KDC 证书。

要验证新的 PKINIT 状态，请参阅第 27.2 节 “显示当前 PKINIT 配置”。

返回顶部

27.3. 在 IdM 中配置 PKINIT

先决条件

步骤

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links