我已经使用脚本install-ipa-server.在Centos 7中创build了一个新的IPA IdM install-ipa-server. 安装成功。 安装后,我无法使用IPA用户添加用户创build一个用户,它要求input名字和姓氏,但之后显示如下错误:
ipa: ERROR: cert validation failed for "CN=server.example.com,0=EXAMPLE.COM" ((SEC_ERROR_UNTRUSRED_ISSSUER) Peer's certificate issuer has been masked as not trusted by the user.) ipa: ERROR: cannot connect to 'https://server.example.com/ipa/xml': (SEC ERROR_UNTRUSTED_ISSUER) Peer's certificate issuer has been masked as not trusted by the user.
此外,我无法通过浏览器使用https://server.example.com (这是IdM服务器计算机的主机名称,并在/etc/hosts文件中configuration为指向服务器IP)连接到IPA服务器, 。 它结束在网站未find错误。
我哪里错了?
通过运行ipactl状态检查IPA是否正在运行 – 确保所有服务正在运行。
听起来你不信任你的新的CA,确保你的CA证书是可信的。
你可以通过sclient连接到你的ipa接口来做到这一点
openssl s_client -showcerts -connect server.example.com:443 </dev/null
CA证书是第二(默认)或第三(如果IPA是从属/中间CA)
检查它与可信任的证书列表(应该是第一个)
less /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
如果没有的话,还有一篇关于如何手动添加这个CA到你的信任的体面的文章。 安装ca-certificates包:
yum安装ca-certificates
启用dynamicCAconfigurationfunction:
更新ca-trust强制启用
将它作为新文件添加到/ etc / pki / ca-trust / source / anchors /:
cp foo.crt / etc / pki / ca-trust / source / anchors /
使用命令:
更新信任提取