FreeIPA 使用 dogtag 和 NSS 进行 PKI。Ubuntu 和世界上很多地方都使用 OpenSSL。我现在有一对 FreeIPA 测试服务器复制证书功能,身份验证、授权和 DNS 的单一界面很方便。我更熟悉 OpenSSL
但是,我不明白如何配置 Apache2 的 HTTPd 以基于 dogtag 证书对站点进行身份验证。我正在尝试使用以下说明使 Apache 模块 mod_ssl 工作:https ://pagure.io/mod_nss 。我的证书有效。如何让网站受信任(类似于“SSLCertificateFile /path/to/cert.pem”和相关的密钥文件)?
我很欣赏 VirtualHost 指令的那部分应该看起来如何的片段。
编辑:我知道我可以转换/导出证书,但这需要手动更新/替换证书。(http://itdoc.hitachi.co.jp/manuals/3020/30203Y1800e/EY180073.HTM)
只需查看最近的 FreeIPA 版本或 git master。从 4.7 版本开始,FreeIPA 在内部使用 mod_ssl 而不是 mod_nss。
作为 abbra 指出的补充(顺便说一句,他是 freeipa 的开发人员之一),您可以使用 mod_ssl 配置 apache。只是不要在密钥分发中心 (kdcs) 上这样做,获取一个加入域的主机并像往常一样配置 mod_ssl。
无论如何,您都不应该在 kdcs 上配置任何虚拟主机,但以防万一;-)