--dirsrv-cert-file
для указания сертификата и файлов закрытого ключа сервера LDAP;
--dirsrv-pin
для указания пароля доступа к закрытому ключу;
--http-cert-file
для указания сертификата и файлов закрытого ключа сервера Apache;
--http-pin
для указания пароля доступа к закрытому ключу;
--dirsrv-cert-file
и --http-cert-file
для файлов сертификатов с полной цепочкой сертификатов ЦС или ее частью;
--ca-cert-file
для файла или файлов, содержащих сертификат центра сертификации, который выдал сертификаты LDAP, Apache Server и Kerberos KDC;
--pkinit-cert-file
для SSL-сертификата Kerberos KDC и закрытого ключа;
--pkinit-pin
для пароля доступа к закрытому ключу Kerberos KDC;
--no-pkinit
— отключить шаги настройки pkinit. Если не предоставить сертификат PKINIT, ipa-server-install
настроит сервер FreeIPA с локальным KDC с самоподписанным сертификатом.
--dirsrv-cert-file
и --http-cert-file
, в сочетании с файлом, предоставленным с помощью --ca-cert-file
должны содержать полную цепочку сертификатов CA, выдавших сертификаты сервера LDAP и Apache.
Предупреждение
# echo $HOSTNAME
ipa.example.test
# mkdir ~/test_ca
password.txt
с паролем к закрытому ключу (длина пароля должна быть не меньше 8 символов):
# echo "SECret.123" > ~/test_ca/password.txt
# certutil -d ~/test_ca -N -f ~/test_ca/password.txt
# head -c20 /dev/random > ~/test_ca/noise.txt
# export CERT_SERIAL=1
#SKID="0x`openssl rand -hex 20`"
#echo $SKID
0xfa012b30b9407b0750b786ff5ed9f49ce3998622 #certutil -d ~/test_ca -S -n "CA" -s "CN=Certificate Authority" -x -t CT,,C -1 -2 -5 -m $CERT_SERIAL -v 120 -z ~/test_ca/noise.txt -f ~/test_ca/password.txt --extSKID
echo $SKID
):
0 - Digital Signature 1 - Non-repudiation 5 - Cert signing key 9 - done Is this a critical extension [y/N]? y Is this a CA certificate [y/N]? y Enter the path length constraint, enter to skip [<0 for unlimited path] 0 Is this a critical extension [y/N]? y Enter value for the key identifier fields,enter to omit: 0xfa012b30b9407b0750b786ff5ed9f49ce3998622 Is this a critical extension [y/N]? n 5 - SSL CA 6 - S/MIME CA 7 - Object Signing CA 9 - done Is this a critical extension [y/N]? n
# head -c20 /dev/random > ~/test_ca/noise.txt
echo $SKID
):
#SKID="0x`openssl rand -hex 20`"
#echo $SKID
0xb17caf72b46288bcc9c887c89894dc917e06f724 #certutil -d ~/test_ca -R -s CN=$HOSTNAME,O=IPA -o /tmp/servercert.req -k rsa -g 2048 -z ~/test_ca/noise.txt -f ~/test_ca/password.txt -a --extSKID
Generating key. This may take a few moments... Adding Subject Key ID extension. Enter value for the key identifier fields,enter to omit: 0xb17caf72b46288bcc9c887c89894dc917e06f724 Is this a critical extension [y/N]? n
#export CERT_SERIAL=$(($CERT_SERIAL + 1))
#certutil -d ~/test_ca -C -c "CA" -i /tmp/servercert.req -o /tmp/servercert.pem -m $CERT_SERIAL -v 120 -f ~/test_ca/password.txt -1 -5 -a
2 - Key encipherment 9 - done Is this a critical extension [y/N]? n 1 - SSL Server 9 - done Is this a critical extension [y/N]? n
Примечание