Я создал новый сервер IPA IdM в Centos 7 с помощью скрипта install-ipa-server. Установка прошла успешно. После установки мне не удалось создать пользователя с помощью IPA user-add user, он запрашивает имя и фамилию, но после этого появляется следующая ошибка:
ipa: ERROR: cert validation failed for "CN=server.example.com,0=EXAMPLE.COM" ((SEC_ERROR_UNTRUSRED_ISSSUER) Peer's certificate issuer has been masked as not trusted by the user.)
ipa: ERROR: cannot connect to 'https://server.example.com/ipa/xml': (SEC ERROR_UNTRUSTED_ISSUER) Peer's certificate issuer has been masked as not trusted by the user.
Кроме того, я не могу подключиться к серверу IPA через браузер, используя https://server.example.com (которое является именем хоста сервера IdM и настроено в /etc/hosts файл направить на IP-адрес сервера). Это заканчивается ошибкой "сайт не найден".
Где я ошибся?
Похоже, вы не доверяете своему новому ЦС, убедитесь, что вашему сертификату ЦС доверяют.
вы можете сделать это, подключившись к интерфейсу ipa с помощью sclient
openssl s_client -showcerts -connect server.example.com:443 </dev/null
сертификат CA является вторым (по умолчанию) или третьим (если IPA является подчиненным / промежуточным CA)
Проверьте его со списком доверенных сертификатов (он должен быть первым)
less /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
если нет, то есть достойная статья о том, как вручную добавить этот CA к вашему доверию. Установите пакет ca-сертификатов:
yum установить ca-сертификаты
Включите функцию динамической конфигурации CA:
update-ca-trust force-enable
Добавьте его как новый файл в / etc / pki / ca-trust / source / anchors /:
cp foo.crt / etc / pki / ca-trust / source / anchors /
Используйте команду:
update-ca-trust экстракт
Убедитесь, что IPA запущен, запустив ipactl status - убедитесь, что все службы работают.