我的任务是构建一个 FreeIPA 服务器来帮助我们管理 TLS 证书,以支持 Nginx、Postgres 和 RabbitMQ。我从未从管理员的角度处理过证书,因此我可能做出了一些阻碍进展的假设。
问题的要点是我运行ipa 服务器安装有多种选择,包括 --外部-ca生成的 CSR 由 LetsEncrypt 通过 certbot 签名(我也尝试了 gethttpsforfree,但仍然得到相同的结果)。当我获取签名的 CSR 证书并通过 ipa-server-install 运行它时 --外部证书文件签名的 CSR 证书和 fullchain.pem(由 letsencrypt 通过 certbot 创建)的参数结果是错误。
CA certificate chain is incomplete: missing certificate with subject 'CN=DST Root CA X3,O=Digital Signature Trust Co.'
我已将 LetsEncrypt 添加为 FreeIPA 服务器上的受信任证书,因此它应该会找到并信任该证书。根据我所读到的所有内容,它应该像获取 CSR、对其进行签名并将其拼接到现有 CA 链一样“简单”。
我缺少什么来让 ipa-server-install 完成第二步?