Chapitre 11. Utilisation du serveur de renouvellement de l'autorité de certification IdM
11.1. Explication du serveur de renouvellement de l'autorité de certification IdM
Dans un déploiement de gestion d'identité (IdM) qui utilise une autorité de certification (CA) intégrée, le serveur de renouvellement de la CA maintient et renouvelle les certificats du système IdM. Il garantit la robustesse des déploiements IdM.
Les certificats du système IdM comprennent
-
IdM CA
certificat -
OCSP
certificat de signature -
IdM CA subsystem
certificats -
IdM CA audit signing
certificat -
IdM renewal agent
(RA) certificat -
KRA
certificats de transport et de stockage
Ce qui caractérise les certificats de système, c'est que leurs clés sont partagées par toutes les répliques de l'autorité de certification. En revanche, les certificats de service IdM (par exemple, les certificats LDAP
, HTTP
et PKINIT
) ont des paires de clés et des noms de sujets différents sur les différents serveurs de l'AC IdM.
Dans la topologie IdM, par défaut, le premier serveur CA IdM est le serveur de renouvellement CA.
Dans la documentation en amont, l'autorité de certification IdM est appelée Dogtag
.
Le rôle du serveur de renouvellement de l'AC
Les certificats IdM CA
, IdM CA subsystem
et IdM RA
sont essentiels pour le déploiement de l'IdM. Chaque certificat est stocké dans une base de données NSS dans le répertoire /etc/pki/pki-tomcat/
et également en tant qu'entrée de base de données LDAP. Le certificat stocké dans LDAP doit correspondre au certificat stocké dans la base de données NSS. Si ce n'est pas le cas, l'authentification échoue entre le cadre IdM et l'autorité de certification IdM, ainsi qu'entre l'autorité de certification IdM et LDAP.
Toutes les répliques de l'AC IdM ont des demandes de suivi pour chaque certificat de système. Si un déploiement IdM avec AC intégrée ne contient pas de serveur de renouvellement d'AC, chaque serveur d'AC IdM demande le renouvellement des certificats de système de manière indépendante. Il en résulte que différentes répliques de l'autorité de certification disposent de différents certificats de système et que des échecs d'authentification se produisent.
La désignation d'une réplique de l'autorité de certification en tant que serveur de renouvellement permet de renouveler les certificats du système une seule fois, lorsque cela est nécessaire, et d'éviter ainsi les échecs d'authentification.
Le rôle du service certmonger
sur les répliques de CA
Le service certmonger
exécuté sur toutes les répliques de l'AC IdM utilise l'aide au renouvellement dogtag-ipa-ca-renew-agent
pour assurer le suivi des certificats du système IdM. Le programme d'aide au renouvellement lit la configuration du serveur de renouvellement de l'autorité de certification. Sur chaque réplique d'autorité de certification qui n'est pas le serveur de renouvellement de l'autorité de certification, le programme d'aide au renouvellement récupère les derniers certificats de système à partir des entrées LDAP de ca_renewal
. En raison de la non-détermination du moment exact où les tentatives de renouvellement de certmonger
se produisent, l'assistant dogtag-ipa-ca-renew-agent
tente parfois de mettre à jour un certificat système avant que le serveur de renouvellement de l'autorité de certification n'ait effectivement renouvelé le certificat. Dans ce cas, l'ancien certificat, qui va bientôt expirer, est renvoyé au service certmonger
sur la réplique de l'autorité de certification. Le service certmonger
, réalisant qu'il s'agit du même certificat que celui déjà stocké dans sa base de données, continue d'essayer de renouveler le certificat avec un certain délai entre chaque tentative jusqu'à ce qu'il puisse récupérer le certificat mis à jour auprès du serveur de renouvellement de l'autorité de certification.
Fonctionnement correct du serveur de renouvellement de l'autorité de certification IdM
Un déploiement IdM avec une autorité de certification intégrée est un déploiement IdM qui a été installé avec une autorité de certification IdM - ou dont le serveur d'autorité de certification IdM a été installé ultérieurement. Un déploiement IdM avec une autorité de certification intégrée doit toujours avoir exactement une réplique d'autorité de certification configurée comme serveur de renouvellement. Le serveur de renouvellement doit être en ligne et entièrement fonctionnel, et doit répliquer correctement avec les autres serveurs.
Si le serveur de renouvellement de l'AC actuel est supprimé à l'aide des commandes ipa server-del
, ipa-replica-manage del
, ipa-csreplica-manage del
ou ipa-server-install --uninstall
, une autre réplique de l'AC est automatiquement affectée en tant que serveur de renouvellement de l'AC. Cette politique garantit que la configuration du serveur de renouvellement reste valide.
Cette police ne couvre pas les situations suivantes :
Offline renewal server
Si le serveur de renouvellement est hors ligne pendant une longue période, il peut manquer une fenêtre de renouvellement. Dans ce cas, tous les serveurs d'autorité de certification non renouvelés continuent à réinstaller les certificats du système actuel jusqu'à ce que les certificats expirent. Dans ce cas, le déploiement de l'IdM est perturbé, car un seul certificat expiré peut entraîner des échecs de renouvellement pour d'autres certificats.
Replication problems
Si des problèmes de réplication existent entre le serveur de renouvellement et les autres répliques de l'autorité de certification, le renouvellement peut réussir, mais les autres répliques de l'autorité de certification peuvent ne pas être en mesure de récupérer les certificats mis à jour avant qu'ils n'expirent.
Pour éviter cette situation, assurez-vous que vos accords de réplication fonctionnent correctement. Pour plus de détails, consultez les directives générales ou spécifiques de dépannage de la réplication dans le site RHEL 7 Linux Domain Identity, Authentication, and Policy Guide.