저는 Nginx, Postgres 및 RabbitMQ를 지원하기 위해 TLS 인증서를 관리하는 데 도움이 되는 FreeIPA 서버를 구축하는 임무를 맡고 있습니다. 저는 관리자 관점에서 인증서를 사용해 본 적이 없으므로 진행을 방해하는 몇 가지 가정을 하고 있을 수 있습니다.
문제의 요점은 내가 달리는 것입니다ipa 서버 설치다음을 포함한 여러 옵션이 있습니다.-외부-ca. 결과 CSR은 certbot을 통해 LetsEncrypt에 의해 서명됩니다(gethttpsforfree도 시도했지만 여전히 동일한 결과를 얻습니다). 서명된 CSR 인증서를 가져와 ipa-server-install을 통해 실행하면 --외부-인증서-파일서명된 CSR 인증서 및 fullchain.pem(letsencrypt에 의해 생성됨 - certbot을 통해)에 대한 인수를 사용하면 오류가 발생합니다.
CA certificate chain is incomplete: missing certificate with subject 'CN=DST Root CA X3,O=Digital Signature Trust Co.'
FreeIPA 서버에 LetsEncrypt를 신뢰할 수 있는 인증서로 추가했으므로 인증서를 찾아서 신뢰해야 합니다. 내가 읽은 모든 내용에 따르면 CSR을 가져와서 서명하고 기존 CA 체인에 연결하는 것만큼 "간단"해야 합니다.
두 번째 단계를 완료하기 위해 ipa-server-install을 얻으려면 무엇을 놓치고 있습니까?