Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 16. Mise hors service d'un serveur qui joue le rôle de serveur de renouvellement de l'autorité de certification et d'éditeur de CRL

Il se peut qu'un serveur joue à la fois le rôle de serveur de renouvellement de l'autorité de certification (CA) et celui d'éditeur de la liste de révocation des certificats (CRL). Si vous devez mettre ce serveur hors ligne ou le déclasser, sélectionnez et configurez un autre serveur d'autorité de certification pour remplir ces rôles.

Dans cet exemple, l'hôte server.idm.example.com, qui remplit les rôles de serveur de renouvellement de l'autorité de certification et d'éditeur de CRL, doit être mis hors service. Cette procédure transfère les rôles de serveur de renouvellement de l'autorité de certification et d'éditeur de CRL à l'hôte replica.idm.example.com et supprime server.idm.example.com de l'environnement IdM.

Note

Il n'est pas nécessaire de configurer le même serveur pour qu'il joue à la fois le rôle de serveur de renouvellement de l'autorité de certification et celui d'éditeur de CRL.

Conditions préalables

  • Vous disposez des informations d'identification de l'administrateur IdM.
  • Vous avez le mot de passe root du serveur que vous déclassez.
  • Vous avez au moins deux répliques CA dans votre environnement IdM.

Procédure

  1. Obtenir les informations d'identification de l'administrateur IdM :

    Copy to Clipboard Toggle word wrap 
    [user@server ~]$ kinit admin
Password for admin@IDM.EXAMPLE.COM:

  2. (Optional) Si vous n'êtes pas sûr des serveurs qui jouent le rôle de serveur de renouvellement de l'autorité de certification et d'éditeur de CRL :

    1. Affichez le serveur de renouvellement de l'autorité de certification actuel. Vous pouvez exécuter la commande suivante à partir de n'importe quel serveur IdM :

      Copy to Clipboard Toggle word wrap 
      [user@server ~]$ ipa config-show | grep 'CA renewal'
  IPA CA renewal master: server.idm.example.com

    2. Teste si un hôte est l'éditeur actuel de la CRL.

      Copy to Clipboard Toggle word wrap 
      [user@server ~]$ ipa-crlgen-manage status
CRL generation: enabled
Last CRL update: 2019-10-31 12:00:00
Last CRL Number: 6
The ipa-crlgen-manage command was successful

      Un serveur CA qui ne génère pas de CRL affiche CRL generation: disabled.

      Copy to Clipboard Toggle word wrap 
      [user@replica ~]$ ipa-crlgen-manage status
CRL generation: disabled
The ipa-crlgen-manage command was successful

      Continuez à saisir cette commande sur les serveurs de l'autorité de certification jusqu'à ce que vous trouviez le serveur d'édition de la CRL.

    3. Affichez tous les autres serveurs CA que vous pouvez promouvoir pour remplir ces rôles. Cet environnement possède deux serveurs CA.

      Copy to Clipboard Toggle word wrap 
      [user@server ~]$ ipa server-role-find --role 'CA server'
----------------------
2 server roles matched
----------------------
  Server name: server.idm.example.com
  Role name: CA server
  Role status: enabled
  Server name: replica.idm.example.com
  Role name: CA server
  Role status: enabled
----------------------------
Number of entries returned 2
----------------------------

  3. Définissez replica.idm.example.com comme serveur de renouvellement de l'autorité de certification.

    Copy to Clipboard Toggle word wrap 
    [user@server ~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com

  4. Sur server.idm.example.com:

    1. Désactiver la tâche de mise à jour des certificats :

      Copy to Clipboard Toggle word wrap 
      [root@server ~]# pki-server ca-config-set ca.certStatusUpdateInterval 0

    2. Redémarrer les services IdM :

      Copy to Clipboard Toggle word wrap 
      [user@server ~]$ ipactl restart

  5. Sur replica.idm.example.com:

    1. Activer la tâche de mise à jour des certificats :

      Copy to Clipboard Toggle word wrap 
      [root@server ~]# pki-server ca-config-unset ca.certStatusUpdateInterval

    2. Redémarrer les services IdM :

      Copy to Clipboard Toggle word wrap 
      [user@replica ~]$ ipactl restart

  6. Sur server.idm.example.com, arrêtez de générer la CRL.

    Copy to Clipboard Toggle word wrap 
    [user@server ~]$ ipa-crlgen-manage disable
Stopping pki-tomcatd
Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
Starting pki-tomcatd
Editing /etc/httpd/conf.d/ipa-pki-proxy.conf
Restarting httpd
CRL generation disabled on the local host. Please make sure to configure CRL generation on another master with ipa-crlgen-manage enable.
The ipa-crlgen-manage command was successful

  7. Sur replica.idm.example.com, commencez à générer la CRL.

    Copy to Clipboard Toggle word wrap 
    [user@replica ~]$ ipa-crlgen-manage enable
Stopping pki-tomcatd
Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
Starting pki-tomcatd
Editing /etc/httpd/conf.d/ipa-pki-proxy.conf
Restarting httpd
Forcing CRL update
CRL generation enabled on the local host. Please make sure to have only a single CRL generation master.
The ipa-crlgen-manage command was successful

  8. Arrêter les services IdM sur server.idm.example.com:

    Copy to Clipboard Toggle word wrap 
    [user@server ~]$ ipactl stop

  9. Sur replica.idm.example.com, supprimez server.idm.example.com de l'environnement IdM.

    Copy to Clipboard Toggle word wrap 
    [user@replica ~]$ ipa server-del server.idm.example.com

  10. Sur server.idm.example.com, utilisez la commande ipa-server-install --uninstall en tant que compte root :

    Copy to Clipboard Toggle word wrap 
    [root@server ~]# ipa-server-install --uninstall
...
Are you sure you want to continue with the uninstall procedure? [no]: yes

Verification steps

  • Afficher le serveur de renouvellement de l'autorité de certification actuel.

    Copy to Clipboard Toggle word wrap 
    [user@replica ~]$ ipa config-show | grep 'CA renewal'
  IPA CA renewal master: replica.idm.example.com

  • Confirmez que l'hôte replica.idm.example.com génère la CRL.

    Copy to Clipboard Toggle word wrap 
    [user@replica ~]$ ipa-crlgen-manage status
CRL generation: enabled
Last CRL update: 2019-10-31 12:10:00
Last CRL Number: 7
The ipa-crlgen-manage command was successful

Ressources supplémentaires

Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat, Inc.