Red Hat Summit45.2. Cambio y restablecimiento del maestro de renovación de la CA de IdM
Cuando se da de baja una autoridad de certificación (CA) maestra de renovación, Identity Management (IdM) selecciona automáticamente una nueva CA maestra de renovación de la lista de servidores de CA de IdM. El administrador del sistema no puede influir en la selección.
Para poder seleccionar el nuevo servidor maestro de renovación de IdM CA, el administrador del sistema debe realizar la sustitución manualmente. Seleccione el maestro antes de iniciar el proceso de desmantelamiento del maestro de renovación actual.
Si la configuración actual del maestro de renovación de CA no es válida, reinicie el maestro de renovación de CA de IdM.
Complete este procedimiento para cambiar o restablecer el maestro de renovación de CA.
Requisitos previos
- Tienes las credenciales de administrador de IdM.
Procedimiento
Obtenga las credenciales del administrador de IdM:
~]$ kinit admin Password for admin@IDM.EXAMPLE.COM:Opcionalmente, para averiguar qué servidores IdM de la implantación tienen la función de CA necesaria para poder convertirse en el nuevo maestro de renovación de CA:
~]$ ipa server-role-find --role 'CA server' ---------------------- 2 server roles matched ---------------------- Server name: server.idm.example.com Role name: CA server Role status: enabled Server name: replica.idm.example.com Role name: CA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------Hay dos servidores CA en el despliegue.
Opcionalmente, para saber qué servidor de CA es el actual maestro de renovación de CA, introduzca:
~]$ ipa config-show | grep 'CA renewal master' IPA CA renewal master: server.idm.example.comEl actual maestro de la renovación es
server.idm.example.com.Para cambiar la configuración del maestro de renovación, utilice la utilidad
ipa config-modcon la opción--ca-renewal-master-server:~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com | grep 'CA renewal master' IPA CA renewal master: replica.idm.example.comImportanteTambién puede cambiar a un nuevo maestro de renovación de CA utilizando:
-
el comando
ipa-cacert-manage --renew. Este comando renueva el certificado de la CA and y convierte al servidor de la CA en el que se ejecuta el comando en el nuevo maestro de renovación de la CA. el comando
ipa-cert-fix. Este comando recupera el despliegue cuando los certificados caducados están causando fallos. También hace que el servidor de CA en el que se ejecuta el comando sea el nuevo maestro de renovación de CA.Para obtener más información, consulte Renovación de certificados de sistema caducados cuando el IdM está desconectado.
-
el comando
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}