第 7 章 安装 IdM 服务器: 在不集成 DNS 的情况下,使用外部 CA 作为 root CA
本章描述了如何安装没有集成 DNS 的新的身份管理(IdM)服务器,该服务器使用外部证书颁发机构(CA)作为根CA。
红帽强烈建议在 IdM 部署中为基本用途安装集成 IdM 的 DNS:当 IdM 服务器也管理 DNS 时,DNS 和原生 IdM 工具之间存在紧密集成,从而实现一些 DNS 记录管理的自动化。
如需了解更多详细信息,请参阅 规划 DNS 服务和主机名。
7.1. 安装外部 CA 作为根 CA 的 IdM CA 时使用的选项
如果适合以下条件之一,您可能希望安装外部 CA 作为 根 CA 的身份管理 IdM 证书颁发机构(CA):
-
您正在使用
ipa-server-install命令安装新的 IdM 服务器或副本。 -
您正在使用
ipa-ca-install命令将 CA 组件安装到现有的 IdM 服务器中。
在安装外部 CA 作为根 CA 的 IdM CA 时,您可以对两个命令使用以下选项来创建证书签名请求(CSR)。
- --external-ca-type=TYPE
-
外部 CA 的类型。可能的值是
generic和ms-cs。默认值为generic。使用ms-cs来在生成的 CSR 中包含 Microsoft 证书服务(MS CS)所需的模板名称。要使用非默认配置文件,请将--external-ca-profile选项与--external-ca-type=ms-cs结合使用。 - --external-ca-profile=PROFILE_SPEC
在为 IdM CA 发布证书时,请指定您希望 MS CS 应用的证书配置文件或模板。
请注意,如果
--external-ca-type是 ms-cs ,则只能使用--external-ca-profile选项。您可以通过以下方法之一识别 MS CS 模板:
-
<oid>:<majorVersion>[:<minorVersion>]。您可以通过其对象标识符(OID)和主版本来指定证书模板。您还可以选择指定次版本。 -
<name>。您可以根据其名称指定证书模板。名称不能包含任何 : 字符,不能是 OID,否则基于 OID 的模板指定符语法优先。 -
default。如果您使用这个指定符,则会使用模板名称SubCA。
-
在某些情场景中,活动目录(AD)管理员可以使用 下级证书机构 (SCA)模板(这是 AD CS 中的内置模板)来创建一个唯一的模板,来更好地满足组织的需求。例如,新模板可以具有自定义的有效期和自定义的扩展。关联的对象标识符(OID)可以在 AD 证书模板 控制台中找到。
如果 AD 管理员禁用了原始的、内置的模板,则您在为 IdM CA 请求证书时,必须指定新模板的 OID 或名称。请您的 AD 管理员为您提供新模板的名称或 OID。
如果原始的 SCA AD CS 模板仍然被启用,则您可以通过指定 --external-ca-type=ms-cs 来使用它,而无需额外使用 --external-ca-profile 选项。在这种情况下,会使用 subCA 外部 CA 配置文件,它是与 SCA AD CS 模板对应的默认 IdM 模板。
