11.2. Modification et réinitialisation du serveur de renouvellement de l'autorité de certification IdM


Lorsqu'un serveur de renouvellement d'autorité de certification (AC) est mis hors service, Identity Management (IdM) sélectionne automatiquement un nouveau serveur de renouvellement d'AC dans la liste des serveurs d'AC IdM. L'administrateur système ne peut pas influencer la sélection.

Pour pouvoir sélectionner le nouveau serveur de renouvellement de l'autorité de certification IdM, l'administrateur du système doit effectuer le remplacement manuellement. Choisissez le nouveau serveur de renouvellement de l'autorité de certification avant de commencer le processus de mise hors service du serveur de renouvellement actuel.

Si la configuration actuelle du serveur de renouvellement de l'autorité de certification n'est pas valide, réinitialisez le serveur de renouvellement de l'autorité de certification IdM.

Suivez cette procédure pour modifier ou réinitialiser le serveur de renouvellement de l'autorité de certification.

Conditions préalables

  • Vous disposez des informations d'identification de l'administrateur IdM.

Procédure

  1. Obtenir les informations d'identification de l'administrateur IdM :

    ~]$ kinit admin
    Password for admin@IDM.EXAMPLE.COM:
  2. Optionnellement, pour savoir quels serveurs IdM dans le déploiement ont le rôle d'autorité de certification nécessaire pour être éligibles à devenir le nouveau serveur de renouvellement de l'autorité de certification :

    ~]$ ipa server-role-find --role 'CA server'
    ----------------------
    2 server roles matched
    ----------------------
      Server name: server.idm.example.com
      Role name: CA server
      Role status: enabled
    
      Server name: replica.idm.example.com
      Role name: CA server
      Role status: enabled
    ----------------------------
    Number of entries returned 2
    ----------------------------

    Il y a deux serveurs d'autorité de certification dans le déploiement.

  3. En option, pour savoir quel serveur CA est le serveur de renouvellement CA actuel, entrez :

    ~]$ ipa config-show | grep 'CA renewal'
      IPA CA renewal master: server.idm.example.com

    Le serveur de renouvellement actuel est server.idm.example.com.

  4. Pour modifier la configuration du serveur de renouvellement, utilisez l'utilitaire ipa config-mod avec l'option --ca-renewal-master-server:

    ~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com | grep 'CA renewal'
      IPA CA renewal master: replica.idm.example.com
    Important

    Vous pouvez également passer à un nouveau serveur de renouvellement de l'autorité de certification en utilisant :

    • la commande ipa-cacert-manage --renew. Cette commande renouvelle le certificat de l'autorité de certification and et fait du serveur de l'autorité de certification sur lequel vous exécutez la commande le nouveau serveur de renouvellement de l'autorité de certification.
    • la commande ipa-cert-fix. Cette commande rétablit le déploiement lorsque des certificats expirés sont à l'origine d'échecs. Elle fait également du serveur d'autorité de certification sur lequel vous exécutez la commande le nouveau serveur de renouvellement de l'autorité de certification.

      Pour plus de détails, voir Renouvellement des certificats système expirés lorsque l'IdM est hors ligne.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.