FreeIPA 使用 dogtag 和 NSS 作为 PKI。Ubuntu 和世界上的很多地方都使用 OpenSSL。我现在有一对 FreeIPA 测试服务器复制证书功能,并且用于身份验证、授权和 DNS 的单一界面非常方便。我更熟悉 OpenSSL
但是,我不明白如何配置 Apache2 的 HTTPd 以基于 dogtag 证书对站点进行身份验证。我正在尝试使用以下说明让 Apache 模块 mod_ssl 工作:https://pagure.io/mod_nss。我的证书有效。如何让网站获得信任(类似于“SSLCertificateFile /path/to/cert.pem”和相关密钥文件)?
我很欣赏 VirtualHost 指令这一部分的代码片段。
编辑:我知道我可以转换/导出证书,但这需要手动更新/替换证书。(http://itdoc.hitachi.co.jp/manuals/3020/30203Y1800e/EY180073.HTM)
答案1
只需查看较新的 FreeIPA 版本或 git master。从 4.7 版本开始,FreeIPA 在内部使用 mod_ssl 而不是 mod_nss。
答案2
作为 abbra 所指出内容的补充(顺便说一句,他是 freeipa 的开发人员之一),您可以使用 mod_ssl 配置 apache。只是不要在密钥分发中心 (kdcs) 上执行此操作,获取加入域的主机并像平常一样配置 mod_ssl。
无论如何,您都不应该在 kdcs 上配置任何 vhost,但以防万一 ;-)