26.2. 将第一个将外部 CA 作为 root CA 的 IdM CA 安装到现有 IdM 域中
如果您之前安装了没有证书颁发机构(CA)组件的身份管理(IdM),则您可以随后在 IdM 服务器上安装 CA。按照以下流程,在 idmserver 服务器上安装一个 IdM CA,该 CA 隶属于外部 root CA,在 CA 之间有 0 个或多个中间 CA。
先决条件
-
您在 idmserver 上具有
root权限。 - IdM 服务器安装在 idmserver 上。
- 您的 IdM 部署没有安装 CA。
-
您知道 IdM
目录管理器的密码。
流程
开始安装:
[root@idmserver ~] ipa-ca-install --external-ca- 等待命令行界面通知您证书签名请求(CSR)已保存。
- 将 CSR 提交到外部 CA。
- 将发布的证书复制到 IdM 服务器。
通过将证书和外部 CA 文件的路径添加到
ipa-ca-install来继续安装:[root@idmserver ~]# ipa-ca-install --external-cert-file=/root/master.crt --external-cert-file=/root/ca.crt在拓扑中的每个 IdM 主机上,运行
ipa-certupdate工具来使用 IdM LDAP 中的新证书的信息更新主机。重要在生成 IdM CA 证书后无法运行
ipa-certupdate意味着证书不会被分发到其他 IdM 机器。
