Мне поручено создать сервер FreeIPA, который поможет нам управлять сертификатами TLS для поддержки Nginx, Postgres и RabbitMQ. Я никогда не работал с сертификатами с точки зрения администратора, поэтому могу делать некоторые предположения, которые мешают прогрессу.
Суть проблемы в том, что я бегу ipa-server-install с несколькими вариантами, включая --external-ca. Полученный CSR подписывается LetsEncrypt через certbot (я также пробовал gethttpsforfree, но все равно получил тот же результат). Когда я беру подписанный сертификат CSR и запускаю его через ipa-server-install с --external-файл-сертификата аргументы для подписанного сертификата CSR и fullchain.pem (созданного letsencrypt - через certbot) результат является ошибкой.
CA certificate chain is incomplete: missing certificate with subject 'CN=DST Root CA X3,O=Digital Signature Trust Co.'
Я добавил LetsEncrypt в качестве доверенного сертификата на сервере FreeIPA, поэтому он должен найти сертификат и доверять ему. Судя по всему, что я прочитал, это должно быть так же «просто», как взять CSR, подписать его и прикрепить к существующей цепочке CA.
Что мне не хватает для установки ipa-server-install для выполнения второго шага?