Chapitre 13. Remplacement des certificats du serveur web et du serveur LDAP s'ils n'ont pas encore expiré sur une réplique IdM
En tant qu'administrateur du système de gestion des identités (IdM), vous pouvez remplacer manuellement les certificats des services Web (ou httpd
) et LDAP (ou Directory
) fonctionnant sur un serveur IdM. Par exemple, cela peut être nécessaire si les certificats arrivent à expiration et si l'utilitaire certmonger
n'est pas configuré pour renouveler les certificats automatiquement ou si les certificats sont signés par une autorité de certification (AC) externe.
L'exemple installe les certificats pour les services fonctionnant sur le serveur IdM server.idm.example.com. Vous obtenez les certificats auprès d'une autorité de certification externe.
Les certificats des services HTTP et LDAP ont des paires de clés et des noms d'objet différents sur les différents serveurs IdM et vous devez donc renouveler les certificats sur chaque serveur IdM individuellement.
Conditions préalables
-
Sur au moins une autre réplique IdM dans la topologie avec laquelle le serveur IdM a un accord de réplication, les certificats web et LDAP sont toujours valides. Il s'agit d'une condition préalable à la commande
ipa-server-certinstall
. Cette commande nécessite une connexionTLS
pour communiquer avec d'autres répliques IdM. Toutefois, si les certificats ne sont pas valides, cette connexion ne peut pas être établie et la commandeipa-server-certinstall
échoue. Dans ce cas, voir Remplacement des certificats du serveur web et du serveur LDAP s'ils ont expiré dans l'ensemble du déploiement IdM. -
Vous avez un accès
root
au serveur IdM. -
Vous connaissez le mot de passe de
Directory Manager
. - Vous avez accès à un fichier contenant la chaîne de certificats de l'autorité de certification externe, ca_certificate_chain_file.crt.
Procédure
Installez les certificats contenus dans ca_certificate_chain_file.crt en tant que certificats d'autorité de certification supplémentaires pour IdM :
# ipa-cacert-manage install
Mettre à jour les bases de données de certificats IdM locales avec les certificats provenant de ca_certicate_chain_file.crt:
# ipa-certupdate
Générez une clé privée et une demande de signature de certificat (CSR) à l'aide de l'utilitaire
OpenSSL
:$ openssl req -new -newkey rsa:2048 -days 365 -nodes -keyout new.key -out new.csr -addext "subjectAltName = DNS:ipa-ca.idm.example.test" -subj '/CN=server.idm.example.com,O=IDM.EXAMPLE.COM'
Soumettre la CSR à l'autorité de certification externe. La procédure diffère selon le service utilisé comme autorité de certification externe. Une fois que l'autorité de certification a signé le certificat, importez le certificat sur le serveur IdM.
Sur le serveur IdM, remplacez l'ancienne clé privée et l'ancien certificat du serveur web Apache par la nouvelle clé et le nouveau certificat signé :
# ipa-server-certinstall -w --pin=password new.key new.crt
Dans la commande ci-dessus :
-
L'option
-w
indique que vous installez un certificat dans le serveur web. -
L'option
--pin
spécifie le mot de passe protégeant la clé privée.
-
L'option
-
Lorsque vous y êtes invité, saisissez le mot de passe
Directory Manager
. Remplacez l'ancienne clé privée et l'ancien certificat du serveur LDAP par la nouvelle clé et le nouveau certificat signé :
# ipa-server-certinstall -d --pin=password new.key new.cert
Dans la commande ci-dessus :
-
L'option
-d
indique que vous installez un certificat dans le serveur LDAP. -
L'option
--pin
spécifie le mot de passe protégeant la clé privée.
-
L'option
-
Lorsque vous y êtes invité, saisissez le mot de passe
Directory Manager
. Redémarrez le service
httpd
:# systemctl restart httpd.service
Redémarrez le service
Directory
:# systemctl restart dirsrv@IDM.EXAMPLE.COM.service
Ressources supplémentaires
- Convertir les formats de certificats pour qu'ils fonctionnent avec l'IdM
-
La page de manuel
ipa-server-certinstall(1)