Tenho a tarefa de construir um servidor FreeIPA para nos ajudar a gerenciar certificados TLS para oferecer suporte a Nginx, Postgres e RabbitMQ. Nunca trabalhei com certificados do ponto de vista administrativo, então posso estar fazendo algumas suposições que estão impedindo o progresso.
A essência do problema é que eu corroinstalação do servidor ipacom várias opções, incluindo --externo-ca. O CSR resultante é assinado por LetsEncrypt via certbot (também tentei gethttpsforfree, mas ainda obtive o mesmo resultado). Quando pego o certificado CSR assinado e o executo por meio de ipa-server-install com --arquivo-certificado externoargumentos para o certificado CSR assinado e fullchain.pem (conforme criado por letsencrypt - via certbot), o resultado é um erro.
CA certificate chain is incomplete: missing certificate with subject 'CN=DST Root CA X3,O=Digital Signature Trust Co.'
Eu adicionei LetsEncrypt como um certificado confiável no servidor FreeIPA para que ele encontre o certificado e confie nele. De acordo com tudo que li, deveria ser tão "simples" quanto pegar o CSR, assiná-lo e costurá-lo à cadeia de CA existente.
O que estou faltando para que o ipa-server-install conclua a segunda etapa?