Для того что бы FreeIPA понимал сертификаты LetsEncrypt да вообще многих остальных издалетей, нужно добавить root CA в freeipa и только после этого добавлять сертификаты LetsEcnrypt.
Мы не будем рассмастривать получение сертификатов от самого LetsEncrypt, предположим что они уже лежат в /path/ssl.
С сайта https://letsencrypt.org/certificates/ скачиваем в фломате pem ISRG Root X1 ISRG Root X2 и обязательно Subordinate (Intermediate) CAs (они меняются раз в год, а скоро может будет меняться еще чаще) нам нужны Let’s Encrypt R12 Let’s Encrypt R13, вот эти два имени будут меняться
wget https://letsencrypt.org/certs/isrgrootx1.pem
wget https://letsencrypt.org/certs/isrg-root-x2-cross-signed.pem
wget https://letsencrypt.org/certs/gen-y/root-x2-by-x1.pem
Затем установим их как доверенные
ipa-cacert-manage install isrgrootx1.pem
ipa-cacert-manage install isrg-root-x2-cross-signed.pem
ipa-cacert-manage install root-x2-by-x1.pemТеперь мы можем установить Let’s Encrypt R12 Let’s Encrypt R13
wget https://letsencrypt.org/certs/2024/r12.pem
ipa-cacert-manage install r12.pem
wget https://letsencrypt.org/certs/2024/r13.pem
ipa-cacert-manage install r13.pemУстанавливаем сертификаты от самого letsencrypt, которые у нас в /path/ssl
ipa-cacert-manage install /path/ssl/chain.pem
ipa-server-certinstall -d -w /path/ssl/privkey.pem /path/ssl/fullchain.pem --pin='' --dirman-password='пароль_ФриИПА_админа'Перезапускаем сервис командой
ipactl restart