我使用脚本在 Centos 7 中创建了一个新的 IPA IdM 服务器。install-ipa-server.
安装成功。安装后,我无法使用 IPA 用户添加用户创建用户,它要求输入名字和姓氏,但之后会显示以下错误:
ipa: ERROR: cert validation failed for "CN=server.example.com,0=EXAMPLE.COM" ((SEC_ERROR_UNTRUSRED_ISSSUER) Peer's certificate issuer has been masked as not trusted by the user.)
ipa: ERROR: cannot connect to 'https://server.example.com/ipa/xml': (SEC ERROR_UNTRUSTED_ISSUER) Peer's certificate issuer has been masked as not trusted by the user.
另外,我无法使用浏览器连接到 IPA 服务器https://server.example.com(这是 IdM 服务器的主机名,在/etc/hosts
文件中配置为指向服务器 IP)。最终出现网站未找到错误。
我哪里做错了?
答案1
通过运行 ipactl status 检查 IPA 是否正在运行 - 确保所有服务都在运行。
答案2
听起来你不信任你的新 CA,请确保你的 CA 证书是受信任的。
你可以通过 sclient 连接到你的 ipa 接口来实现这一点
openssl s_client -showcerts -connect server.example.com:443 </dev/null
CA 证书是第二个(默认)或第三个(如果 IPA 是从属/中间 CA)
使用受信任的证书列表进行检查(它应该是第一个)
less /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
如果没有,有一篇不错的文章介绍如何手动将此 CA 添加到您的信任中。安装 ca-certificates 包:
yum 安装 ca 证书
启用动态 CA 配置功能:
更新 CA 信任强制启用
将其作为新文件添加到 /etc/pki/ca-trust/source/anchors/:
cp foo.crt /etc/pki/ca-trust/source/anchors/
使用命令:
更新 CA 信任提取