11.2. Modification et réinitialisation du serveur de renouvellement de l'autorité de certification IdM
Lorsqu'un serveur de renouvellement d'autorité de certification (AC) est mis hors service, Identity Management (IdM) sélectionne automatiquement un nouveau serveur de renouvellement d'AC dans la liste des serveurs d'AC IdM. L'administrateur système ne peut pas influencer la sélection.
Pour pouvoir sélectionner le nouveau serveur de renouvellement de l'autorité de certification IdM, l'administrateur du système doit effectuer le remplacement manuellement. Choisissez le nouveau serveur de renouvellement de l'autorité de certification avant de commencer le processus de mise hors service du serveur de renouvellement actuel.
Si la configuration actuelle du serveur de renouvellement de l'autorité de certification n'est pas valide, réinitialisez le serveur de renouvellement de l'autorité de certification IdM.
Suivez cette procédure pour modifier ou réinitialiser le serveur de renouvellement de l'autorité de certification.
Conditions préalables
- Vous disposez des informations d'identification de l'administrateur IdM.
Procédure
Obtenir les informations d'identification de l'administrateur IdM :
~]$ kinit admin Password for admin@IDM.EXAMPLE.COM:Optionnellement, pour savoir quels serveurs IdM dans le déploiement ont le rôle d'autorité de certification nécessaire pour être éligibles à devenir le nouveau serveur de renouvellement de l'autorité de certification :
~]$ ipa server-role-find --role 'CA server' ---------------------- 2 server roles matched ---------------------- Server name: server.idm.example.com Role name: CA server Role status: enabled Server name: replica.idm.example.com Role name: CA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
Il y a deux serveurs d'autorité de certification dans le déploiement.
En option, pour savoir quel serveur CA est le serveur de renouvellement CA actuel, entrez :
~]$ ipa config-show | grep 'CA renewal' IPA CA renewal master: server.idm.example.comLe serveur de renouvellement actuel est
server.idm.example.com.Pour modifier la configuration du serveur de renouvellement, utilisez l'utilitaire
ipa config-modavec l'option--ca-renewal-master-server:~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com | grep 'CA renewal' IPA CA renewal master: replica.idm.example.comImportantVous pouvez également passer à un nouveau serveur de renouvellement de l'autorité de certification en utilisant :
-
la commande
ipa-cacert-manage --renew. Cette commande renouvelle le certificat de l'autorité de certification and et fait du serveur de l'autorité de certification sur lequel vous exécutez la commande le nouveau serveur de renouvellement de l'autorité de certification. la commande
ipa-cert-fix. Cette commande rétablit le déploiement lorsque des certificats expirés sont à l'origine d'échecs. Elle fait également du serveur d'autorité de certification sur lequel vous exécutez la commande le nouveau serveur de renouvellement de l'autorité de certification.Pour plus de détails, voir Renouvellement des certificats système expirés lorsque l'IdM est hors ligne.
-
la commande
