第 30 章 在没有 CA 的部署中将 IdM CA 服务添加到 IdM 服务器
如果您之前安装了没有证书颁发机构(CA)组件的身份管理(IdM)域,则您可以使用 ipa-ca-install
命令将 IdM CA 服务添加到域。根据您的要求,您可以选择以下选项之一:
注意
有关支持的 CA 配置的详情,请参阅 规划您的 CA 服务。
30.1. 将第一个 IdM CA 作为 root CA 安装到现有 IdM 域中
如果您之前安装了没有证书颁发机构(CA)组件的身份管理(IdM),则您可以随后在 IdM 服务器上安装 CA。按照以下流程,在 idmserver 服务器上安装一个不隶属于任何外部 root CA 的 IdM CA。
先决条件
-
您在 idmserver 上具有
root
权限。 - IdM 服务器安装在 idmserver 上。
- 您的 IdM 部署没有安装 CA。
-
您知道 IdM
目录管理器
的密码。
步骤
在 idmserver 上,安装 IdM 证书服务器 CA:
[root@idmserver ~] ipa-ca-install
在拓扑中的每个 IdM 主机上,运行
ipa-certupdate
工具来使用 IdM LDAP 中的新证书的信息更新主机。重要如果在生成 IdM CA 证书后不运行
ipa-certupdate
,则证书不会分发到其他 IdM 机器。