Rechercher

Chapitre 13. Remplacement des certificats du serveur web et du serveur LDAP s'ils n'ont pas encore expiré sur une réplique IdM

download PDF

En tant qu'administrateur du système de gestion des identités (IdM), vous pouvez remplacer manuellement les certificats des services Web (ou httpd) et LDAP (ou Directory) fonctionnant sur un serveur IdM. Par exemple, cela peut être nécessaire si les certificats arrivent à expiration et si l'utilitaire certmonger n'est pas configuré pour renouveler les certificats automatiquement ou si les certificats sont signés par une autorité de certification (AC) externe.

L'exemple installe les certificats pour les services fonctionnant sur le serveur IdM server.idm.example.com. Vous obtenez les certificats auprès d'une autorité de certification externe.

Note

Les certificats des services HTTP et LDAP ont des paires de clés et des noms d'objet différents sur les différents serveurs IdM et vous devez donc renouveler les certificats sur chaque serveur IdM individuellement.

Conditions préalables

  • Sur au moins une autre réplique IdM dans la topologie avec laquelle le serveur IdM a un accord de réplication, les certificats web et LDAP sont toujours valides. Il s'agit d'une condition préalable à la commande ipa-server-certinstall. Cette commande nécessite une connexion TLS pour communiquer avec d'autres répliques IdM. Toutefois, si les certificats ne sont pas valides, cette connexion ne peut pas être établie et la commande ipa-server-certinstall échoue. Dans ce cas, voir Remplacement des certificats du serveur web et du serveur LDAP s'ils ont expiré dans l'ensemble du déploiement IdM.
  • Vous avez un accès root au serveur IdM.
  • Vous connaissez le mot de passe de Directory Manager.
  • Vous avez accès à un fichier contenant la chaîne de certificats de l'autorité de certification externe, ca_certificate_chain_file.crt.

Procédure

  1. Installez les certificats contenus dans ca_certificate_chain_file.crt en tant que certificats d'autorité de certification supplémentaires pour IdM :

    # ipa-cacert-manage install
  2. Mettre à jour les bases de données de certificats IdM locales avec les certificats provenant de ca_certicate_chain_file.crt:

    # ipa-certupdate
  3. Générez une clé privée et une demande de signature de certificat (CSR) à l'aide de l'utilitaire OpenSSL:

    $ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout new.key -out new.csr -addext "subjectAltName = DNS:ipa-ca.idm.example.test" -subj '/CN=server.idm.example.com,O=IDM.EXAMPLE.COM'

    Soumettre la CSR à l'autorité de certification externe. La procédure diffère selon le service utilisé comme autorité de certification externe. Une fois que l'autorité de certification a signé le certificat, importez le certificat sur le serveur IdM.

  4. Sur le serveur IdM, remplacez l'ancienne clé privée et l'ancien certificat du serveur web Apache par la nouvelle clé et le nouveau certificat signé :

    # ipa-server-certinstall -w --pin=password new.key new.crt

    Dans la commande ci-dessus :

    • L'option -w indique que vous installez un certificat dans le serveur web.
    • L'option --pin spécifie le mot de passe protégeant la clé privée.
  5. Lorsque vous y êtes invité, saisissez le mot de passe Directory Manager.
  6. Remplacez l'ancienne clé privée et l'ancien certificat du serveur LDAP par la nouvelle clé et le nouveau certificat signé :

    # ipa-server-certinstall -d --pin=password new.key new.cert

    Dans la commande ci-dessus :

    • L'option -d indique que vous installez un certificat dans le serveur LDAP.
    • L'option --pin spécifie le mot de passe protégeant la clé privée.
  7. Lorsque vous y êtes invité, saisissez le mot de passe Directory Manager.
  8. Redémarrez le service httpd:

    # systemctl restart httpd.service
  9. Redémarrez le service Directory:

    # systemctl restart dirsrv@IDM.EXAMPLE.COM.service

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.