第 4 章 安装 IdM 服务器:带有集成的 DNS,没有 CA
安装带有集成 DNS 的新的身份管理(IdM)服务器有以下优点:
- 您可以使用原生 IdM 工具自动执行大多数维护和 DNS 记录管理。例如:在设置过程中自动创建 DNS SRV 记录,之后会自动更新。
- 您可以在安装 IdM 服务器的过程中为稳定的外部互联网连接配置全局转发器。全局转发器对 Active Directory 的信任也很有用。
- 您可以设置 DNS 反向区,以防止来自您的域的电子邮件被 IdM 域之外的电子邮件服务器视为垃圾邮件。
安装带有集成 DNS 的 IdM 有一定的限制:
- IdM DNS 并不意味着用作通用的 DNS 服务器。不支持某些高级 DNS 功能。如需更多信息,请参阅 IdM 服务器 中提供的 DNS 服务。
本章描述了如何安装没有证书颁发机构(CA)的新 IdM 服务器。
4.1. 安装没有 CA 的 IdM 服务器所需的证书
您需要提供安装没有证书颁发机构(CA)的身份管理(IdM)服务器所需的证书。通过使用描述的命令行选项,您可以将这些证书提供给 ipa-server-install 工具。
重要
您不能使用自签名的第三方服务器证书来安装服务器或副本,因为导入的证书文件必须包含签发 LDAP 和 Apache 服务器证书的 CA 的完整 CA 证书链。
- LDAP 服务器证书和私钥
-
--dirsrv-cert-file用于 LDAP 服务器证书的证书和私钥文件 -
--dirsrv-pin用于访问--dirsrv-cert-file中指定的文件中的私钥的密码
-
- Apache 服务器证书和私钥
-
--http-cert-file用于 Apache 服务器证书的证书和私钥文件 -
--http-pin,用于访问--http-cert-file中指定的文件中的私钥的密码
-
- 发布 LDAP 和 Apache 服务器证书的 CA 完整 CA 证书链
-
--dirsrv-cert-file和--http-cert-file用于具有完整 CA 证书链或部分证书链的证书文件
-
您可以提供在 --dirsrv-cert-file 和 --http-cert-file 选项中指定的以下格式的文件:
- Privacy-Enhanced Mail(PEM)编码的证书(RFC 7468)。请注意,身份管理安装程序接受串联的 PEM 编码的对象。
- 区分编码规则(DER)
- PKCS #7 证书链对象
- PKCS #8 私钥对象
- PKCS #12 归档
您可以多次指定 --dirsrv-cert-file 和 --http-cert-file 选项来指定多个文件。
- 完成完整 CA 证书链的证书文件(某些环境中不需要)
-
--ca-cert-file用于包含签发 LDAP、Apache 服务器和 Kerberos KDC 证书的 CA 证书的一个或多个文件。如果其他选项提供的证书文件中没有 CA 证书,请使用这个选项。
-
使用 --dirsrv-cert-file 和 --http-cert-file 以及 --ca-cert-file 提供的文件必须包含签发 LDAP 和 Apache 服务器证书的 CA 的完整 CA 证书链。
- Kerberos 密钥分发中心(KDC) PKINIT 证书和私钥
如果您有 PKINIT 证书,请使用以下 2 个选项:
-
--pkinit-cert-file用于 Kerberos KDC SSL 证书和私钥 -
--pkinit-pin用于访问--pkinit-cert-file文件中指定的 Kerberos KDC 私钥的密码
-
如果您没有 PKINIT 证书,并希望使用带有自签名证书的本地 KDC 配置 IdM 服务器,请使用以下选项:
-
--no-pkinit用于禁用 pkinit 设置步骤
-
其他资源
-
有关证书文件接受哪些选项的详情,请参见
ipa-server-install(1)手册页。 - 有关创建 RHEL IdM PKINIT 证书所需的 PKINIT 扩展的详情,请参阅 RHEL IdM PKINIT KDC 证书和扩展。
