Bug 51065

Summary:

Не устанавливается в режиме CA-less

Product:

Branch p11

Reporter:

Alexander Makeenkov <amakeenk>

Component:

freeipa

Assignee:

Stanislav Levin <slev>

Status:

CLOSED NOTABUG

QA Contact:

qa-p11 <qa-p11>

Severity:

normal

Priority:

Version:

unspecified

Hardware:

x86_64

OS:

Linux

Attachments:

Description	Flags
ca-less-ipaserver-install.log	none
новый лог установки	none

Description Alexander Makeenkov 2024-08-05 16:22:25 MSK

Created attachment 16559 [details]
ca-less-ipaserver-install.log

Версия пакета: 4.11.1-alt3

Установка и настройка согласно https://www.altlinux.org/FreeIPA/Установка_сервера_FreeIPA#Установка_сервера_FreeIPA_в_режиме_CA-less

Запуск ipa-server-install завершается ошибкой: The server certificate in /root/test_ca/servercert.p12 is not valid: invalid for server ipa.example.test

Полный лог установки во вложении.
В обычном режиме (без CA-less) ошибок нет.

Не воспроизводится в p10.
В сизифе ошибка другая: https://bugzilla.altlinux.org/51063

Comment 1 Stanislav Levin 2024-08-19 18:46:42 MSK

Было ли изменено имя хоста до генерации сертификатов?

В приведенной ссылке на инструкцию, CN должен быть:
certutil -d ~/test_ca -R -s CN=$HOSTNAME,O=IPA -o /tmp/servercert.req -k rsa -g 2048 -z ~/test_ca/noise.txt -f ~/test_ca/password.txt -a --extSKID

В тоже время в логе установки:

2024-08-05T12:33:05Z DEBUG Check if ipa.example.test is a primary hostname for localhost
2024-08-05T12:33:05Z DEBUG Primary hostname for localhost: ipa.example.test
2024-08-05T12:33:05Z DEBUG will use host_name: ipa.example.test

имя хоста *задано* перед установкой (ок).

Но после импорта сертификата CN ссылается на другое имя:

2024-08-05T12:33:10Z DEBUG args=['/usr/bin/certutil', '-d', 'sql:/tmp/.private/root/tmpy_6y48db', '-O', '--simple-self-signed', '-n', 'Server-Cert', '-f', '/tmp/.private/root/tmpy_6y48db/pwdfile.txt']
2024-08-05T12:33:10Z DEBUG Process finished, return code=0
2024-08-05T12:33:10Z DEBUG stdout="CA" [CN=Certificate Authority]

  "Server-Cert" [CN=localhost-20240805.localdomain,O=IPA]

Сертификат был сгенерирован до изменения имени хоста *или* переменная HOSTNAME осталась неизмененной.

Comment 2 Alexander Makeenkov 2024-08-20 09:33:11 MSK

(Ответ для Stanislav Levin на комментарий #1)
> Сертификат был сгенерирован до изменения имени хоста

Нет, имя хоста менялось в первую очередь.
Командой `# hostnamectl set-hostname ipa.example.test`

> переменная HOSTNAME осталась неизмененной

Посмотрю.

Comment 3 Alexander Makeenkov 2024-08-20 11:35:26 MSK

Created attachment 16654 [details]
новый лог установки

> переменная HOSTNAME осталась неизмененной

Скорее всего не перезагрузил систему после смены имени хоста.
После перезагрузки эта переменная изменяется.

Однако, ошибка установки сервера никуда не делась.
В логах "Server-Cert" [CN=ipa.example.test,O=IPA]

Новый лог во вложении.

Comment 4 Stanislav Levin 2024-09-02 12:29:19 MSK

Инструкция некорректна.

https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/9/html/managing_certificates_in_idm/understanding-what-certificates-are-used-by-idm_managing-certificates-in-idm#certificates-internal-to-idm_understanding-what-certificates-are-used-by-idm

Для HTTPD, LDAP TLS/STARTTLS нужно генерировать SAN.
Для PKINIT id-pkinit-KPkdc.

Comment 5 Alexander Makeenkov 2024-09-11 16:16:47 MSK

(Ответ для Stanislav Levin на комментарий #4)
> Для HTTPD, LDAP TLS/STARTTLS нужно генерировать SAN.
> Для PKINIT id-pkinit-KPkdc.

Получилось, спасибо. Сервер установился.