17.7. Faire en sorte que certmonger reprenne le suivi des certificats IdM sur une réplique d'AC
Cette procédure montre comment faire en sorte que certmonger
reprenne le suivi des certificats de système de gestion d'identité (IdM) qui sont essentiels pour un déploiement IdM avec une autorité de certification intégrée après que le suivi des certificats a été interrompu. L'interruption peut être due au fait que l'hôte IdM a été désinscrit de l'IdM pendant le renouvellement des certificats système ou que la topologie de réplication ne fonctionne pas correctement. La procédure montre également comment faire en sorte que certmonger
reprenne le suivi des certificats du service IdM, à savoir les certificats HTTP
, LDAP
et PKINIT
.
Conditions préalables
- L'hôte sur lequel vous souhaitez reprendre les certificats du système de suivi est un serveur IdM qui est également une autorité de certification IdM, mais pas le serveur de renouvellement de l'autorité de certification IdM.
Procédure
Obtenir le code PIN pour les certificats de l'autorité de certification du sous-système :
# grep 'internal=' /var/lib/pki/pki-tomcat/conf/password.conf
Ajouter le suivi aux certificats CA du sous-système, en remplaçant
[internal PIN]
dans les commandes ci-dessous par le PIN obtenu à l'étape précédente :# getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "caSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "caSigningCert cert-pki-ca"' -T caCACert # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "auditSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "auditSigningCert cert-pki-ca"' -T caSignedLogCert # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "ocspSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "ocspSigningCert cert-pki-ca"' -T caOCSPCert # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "subsystemCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "subsystemCert cert-pki-ca"' -T caSubsystemCert # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "Server-Cert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "Server-Cert cert-pki-ca"' -T caServerCert
Ajouter le suivi des certificats IdM restants, les certificats
HTTP
,LDAP
,IPA renewal agent
etPKINIT
:# getcert start-tracking -f /var/lib/ipa/certs/httpd.crt -k /var/lib/ipa/private/httpd.key -p /var/lib/ipa/passwds/idm.example.com-443-RSA -c IPA -C /usr/libexec/ipa/certmonger/restart_httpd -T caIPAserviceCert # getcert start-tracking -d /etc/dirsrv/slapd-IDM-EXAMPLE-COM -n "Server-Cert" -c IPA -p /etc/dirsrv/slapd-IDM-EXAMPLE-COM/pwdfile.txt -C '/usr/libexec/ipa/certmonger/restart_dirsrv "IDM-EXAMPLE-COM"' -T caIPAserviceCert # getcert start-tracking -f /var/lib/ipa/ra-agent.pem -k /var/lib/ipa/ra-agent.key -c dogtag-ipa-ca-renew-agent -B /usr/libexec/ipa/certmonger/renew_ra_cert_pre -C /usr/libexec/ipa/certmonger/renew_ra_cert -T caSubsystemCert # getcert start-tracking -f /var/kerberos/krb5kdc/kdc.crt -k /var/kerberos/krb5kdc/kdc.key -c dogtag-ipa-ca-renew-agent -B /usr/libexec/ipa/certmonger/renew_ra_cert_pre -C /usr/libexec/ipa/certmonger/renew_kdc_cert -T KDCs_PKINIT_Certs
Redémarrer
certmonger
:# systemctl restart certmonger
Attendez une minute après le démarrage de
certmonger
, puis vérifiez l'état des nouveaux certificats :# getcert list
Ressources supplémentaires
- Si tous les certificats de votre système IdM ont expiré, consultez cette solution KCS (Knowledge Centered Support ) pour renouveler manuellement les certificats du système IdM sur le serveur de l'autorité de certification IdM qui est également le serveur de renouvellement de l'autorité de certification et le serveur d'édition des CRL. Suivez ensuite la procédure décrite dans cette solution KCS pour renouveler manuellement les certificats du système IdM sur tous les autres serveurs d'autorité de certification de la topologie.