Мне поручено построить сервер FreeIPA, который поможет нам управлять сертификатами TLS для поддержки Nginx, Postgres и RabbitMQ. Я никогда не работал с сертификатами с точки зрения администратора, поэтому я могу делать некоторые предположения, которые тормозят прогресс.
Суть проблемы в том, что я бегуipa-сервер-установкас несколькими вариантами, включая --внешний-ca. Полученный CSR подписан LetsEncrypt через certbot (я также пробовал gethttpsforfree, но результат тот же). Когда я беру подписанный сертификат CSR и запускаю его через ipa-server-install с помощью --внешний-файл-сертификатааргументы для подписанного сертификата CSR и fullchain.pem (созданного letsencrypt - через certbot) результатом является ошибка.
CA certificate chain is incomplete: missing certificate with subject 'CN=DST Root CA X3,O=Digital Signature Trust Co.'
Я добавил LetsEncrypt как доверенный сертификат на сервере FreeIPA, поэтому он должен найти сертификат и доверять ему. Согласно всему, что я прочитал, это должно быть так же «просто», как взять CSR, подписать его и пришить к существующей цепочке CA.
Чего мне не хватает, чтобы ipa-server-install выполнил второй шаг?