AWS Lightsail 支持容器服务,具有部署类型的 Docker 组合结构。添加多个容器,指定环境变量和入口点,选择添加公网IP。
另外,Lightsail 提供存储作为块设备。这些可以连接到 Lightsail 实例。
我一直无法找到如何将持久存储添加到容器部署中。持久化文件有哪些好方法?
我正在尝试使 VMWare 的证书颁发机构 (VMCA) v6.7 成为 FreeIPA 证书颁发机构的受信任子 CA。我应该能够使用交互式工具(证书管理器)或使用 VMWare 的 certool 和配置文件(certool.cfg)在 VMCA 中生成证书签名请求。
当然,交互式工具有其吸引力。该工具提出问题。需要一些答案:
Press Enter key to skip optional parameters or use Previous value.
Enter proper value for 'Country' [Previous value : US] :
Enter proper value for 'Name' [Previous value : vcenter.int.demarcohome.com] :
Enter proper value for 'Organization' [Previous value : DeMarco Home] :
Enter proper value for 'OrgUnit' [Previous value : none] :
Enter proper value for 'State' [Previous value : North Carolina] :
Enter proper value for 'Locality' [Previous value : Raleigh] :
Enter proper value for 'IPAddress' (Provide comma separated values for multiple IP addresses) [optional] :
Enter proper value for 'Email' [Previous value : [email protected]] :
Enter proper value for 'Hostname' (Provide comma separated values for multiple Hostname entries) [Enter valid Fully Qualified Domain Name(FQDN), For Example : example.domain.com] : vcenter.int.demarcohome.com
Enter proper value for VMCA 'Name' : vcenter
在 FreeIPA 中,当我尝试签署此 CSR 时,请求未签名,错误 #3009:
invalid 'csr': subject alt name type RFC822Name is forbidden for non-user principals
解码 CSR ( https://www.sslshopper.com/csr-decoder.html ) 告诉我它包括主题备用名称 (SAN):
email:[email protected],
IP Address:10.71.73.8
vcenter.int.demarcohome.com
错误“非用户主体禁止使用名称”对我来说有些道理,但不足以为我指明正确的方向。我是否需要通过以不同方式回答问题来以不同方式格式化我的 CSR,或者我是否要在 FreeIPA 中错误地创建从属 CA 的过程?
FreeIPA 使用 dogtag 和 NSS 进行 PKI。Ubuntu 和世界上很多地方都使用 OpenSSL。我现在有一对 FreeIPA 测试服务器复制证书功能,身份验证、授权和 DNS 的单一界面很方便。我更熟悉 OpenSSL
但是,我不明白如何配置 Apache2 的 HTTPd 以基于 dogtag 证书对站点进行身份验证。我正在尝试使用以下说明使 Apache 模块 mod_ssl 工作:https ://pagure.io/mod_nss 。我的证书有效。如何让网站受信任(类似于“SSLCertificateFile /path/to/cert.pem”和相关的密钥文件)?
我很欣赏 VirtualHost 指令的那部分应该看起来如何的片段。
编辑:我知道我可以转换/导出证书,但这需要手动更新/替换证书。(http://itdoc.hitachi.co.jp/manuals/3020/30203Y1800e/EY180073.HTM)
在浏览器中,对于 URI server.group.myhomenetwork.com,我应该能够输入server.group/并按 Enter。浏览器自动完成 URIserver.group.myhomenetwork.com并获取资源。
我曾在以这种方式运行的网络中工作过。它是如何实现的?DNS配置?网络浏览器配置?我想在我的网络中配置它。
我已经配置了大部分的 FreeIPA。当我尝试添加客户端时,我必须手动指定域和 IPA 服务器 FQDN。我已经阅读了许多讨论自动发现的资料,但我还没有找到自动发现记录的示例。
我的 IPA 服务器是其域的权威 DNS 解析器。
在 FreeIPA 中,当浏览到 Web UI 时,失败的身份验证会话应该重定向到http://<servername>/browserconfig.html. 我的没有。
也许我把事情复杂化了,但默认的 FreeIPA Apacheipa.conf似乎禁用了目录的非 kerberos 会话。
以下是 ipa.conf 的摘录
# Protect /ipa and everything below it in webspace with Apache Kerberos auth
<Location "/ipa">
AuthType Kerberos
AuthName "Kerberos Login"
KrbMethodNegotiate on
KrbMethodK5Passwd off
KrbServiceName HTTP
KrbAuthRealms <servername>
Krb5KeyTab /etc/httpd/conf/ipa.keytab
KrbSaveCredentials on
KrbConstrainedDelegation on
Require valid-user
ErrorDocument 401 /ipa/errors/unauthorized.html
</Location>
不幸的是,这在我的服务器上不起作用。当我未能通过身份验证时,我会收到一条 404 Not Found 消息。我不确定为什么。