Meine Aufgabe ist es, einen FreeIPA-Server zu erstellen, der uns bei der Verwaltung von TLS-Zertifikaten zur Unterstützung von Nginx, Postgres und RabbitMQ hilft. Ich habe noch nie aus Administratorsicht mit Zertifikaten gearbeitet, daher mache ich möglicherweise Annahmen, die den Fortschritt behindern.
Das Problem besteht darin, dass ichipa-server-installmit mehreren Optionen, darunter --external-ca. Das resultierende CSR wird von LetsEncrypt über certbot signiert (ich habe auch gethttpsforfree ausprobiert, aber immer noch das gleiche Ergebnis). Wenn ich das signierte CSR-Zertifikat nehme und es durch ipa-server-install laufen lasse mit --external-cert-fileArgumente für das signierte CSR-Zertifikat und fullchain.pem (wie von letsencrypt erstellt – über certbot) ist das Ergebnis ein Fehler.
CA certificate chain is incomplete: missing certificate with subject 'CN=DST Root CA X3,O=Digital Signature Trust Co.'
Ich habe LetsEncrypt als vertrauenswürdiges Zertifikat auf dem FreeIPA-Server hinzugefügt, damit es das Zertifikat finden und ihm vertrauen sollte. Nach allem, was ich gelesen habe, sollte es so „einfach“ sein, wie das CSR zu nehmen, es zu signieren und es an die vorhandene CA-Kette anzufügen.
Was fehlt mir, damit ipa-server-install den zweiten Schritt abschließen kann?