Tengo la tarea de crear un servidor FreeIPA para ayudarnos a administrar certificados TLS para admitir Nginx, Postgres y RabbitMQ. Nunca he trabajado con certificados desde una perspectiva administrativa, por lo que es posible que esté haciendo algunas suposiciones que impidan el progreso.
La esencia del problema es que corroinstalación-servidor-ipacon varias opciones que incluyen --externo-ca. El CSR resultante está firmado por LetsEncrypt a través de certbot (también probé gethttpsforfree pero sigo obteniendo el mismo resultado). Cuando tomo el certificado CSR firmado y lo ejecuto a través de ipa-server-install con --archivo-de-certificado-externoargumentos para el certificado CSR firmado y fullchain.pem (creado por letsencrypt - a través de certbot) el resultado es un error.
CA certificate chain is incomplete: missing certificate with subject 'CN=DST Root CA X3,O=Digital Signature Trust Co.'
Agregué LetsEncrypt como certificado confiable en el servidor FreeIPA, por lo que debería encontrar el certificado y confiar en él. Según todo lo que he leído, debería ser tan "simple" como tomar el CSR, firmarlo y unirlo a la cadena CA existente.
¿Qué me falta para que ipa-server-install complete el segundo paso?