私は、Nginx、Postgres、RabbitMQ をサポートする TLS 証明書の管理を支援する FreeIPA サーバーを構築する任務を負っています。管理者の観点から証明書を扱ったことがないので、進捗を妨げる思い込みがあるかもしれません。
問題の要点は、私がipa-server-インストールいくつかのオプションがあります --外部-ca結果のCSRはcertbot経由でLetsEncryptによって署名されます(gethttpsforfreeも試しましたが、結果は同じです)。署名されたCSR証明書を取得し、ipa-server-installで実行すると、-外部証明書ファイル署名された CSR 証明書と fullchain.pem (letsencrypt によって certbot 経由で作成されたもの) の引数の結果はエラーになります。
CA certificate chain is incomplete: missing certificate with subject 'CN=DST Root CA X3,O=Digital Signature Trust Co.'
LetsEncrypt を FreeIPA サーバーの信頼できる証明書として追加したので、証明書が見つかり、信頼されるはずです。私が読んだ限りでは、CSR を取得して署名し、既存の CA チェーンに貼り付けるだけという「簡単な」はずです。
ipa-server-install で 2 番目の手順を完了するには何が足りないのでしょうか?