我的任務是建立一個 FreeIPA 伺服器來幫助我們管理 TLS 憑證以支援 Nginx、Postgres 和 RabbitMQ。我從未從管理角度使用過證書,因此我可能會做出一些阻礙進展的假設。
問題的要點是我跑了ipa 伺服器安裝有多種選擇,包括 --外部-ca。產生的 CSR 由 LetsEncrypt 透過 certbot 進行簽名(我也嘗試過 gethttpsforfree 但仍然得到相同的結果)。當我取得簽署的 CSR 憑證並透過 ipa-server-install 運行它時 --外部憑證文件簽署的 CSR 憑證和 fullchain.pem 的參數(由 Letsencrypt 建立 - 透過 certbot)結果是錯誤。
CA certificate chain is incomplete: missing certificate with subject 'CN=DST Root CA X3,O=Digital Signature Trust Co.'
我已將 LetsEncrypt 添加為 FreeIPA 伺服器上的受信任證書,因此它應該找到該證書並信任它。根據我讀過的所有內容,它應該像獲取 CSR、對其進行簽名並將其縫合到現有的 CA 鏈一樣「簡單」。
為了讓 ipa-server-install 完成第二步,我缺少什麼?