Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 12. Renouvellement des certificats système expirés lorsque l'IdM est hors ligne

Si un certificat système a expiré, la gestion des identités (IdM) ne démarre pas. IdM prend en charge le renouvellement des certificats système même dans cette situation en utilisant l'outil ipa-cert-fix.

  • Assurez-vous que le service LDAP fonctionne en entrant la commande ipactl start --ignore-service-failures sur l'hôte.

Cette section décrit comment appliquer l'outil ipa-cert-fix aux certificats IdM expirés.

Important

Si vous exécutez l'outil ipa-cert-fix sur un hôte CA (Autorité de certification) qui n'est pas le serveur de renouvellement CA, et que l'utilitaire renouvelle les certificats partagés, cet hôte devient automatiquement le nouveau serveur de renouvellement CA dans le domaine. Il doit toujours y avoir un seul serveur de renouvellement de l'autorité de certification dans le domaine pour éviter les incohérences.

Conditions préalables

  • Se connecter au serveur avec les droits d'administration

Procédure

  1. Lancez l'outil ipa-cert-fix pour analyser le système et dresser la liste des certificats expirés qui doivent être renouvelés : 

    # ipa-cert-fix
...
The following certificates will be renewed:

Dogtag sslserver certificate:
  Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
  Serial:  13
  Expires: 2019-05-12 05:55:47
...
Enter "yes" to proceed:
    Copy to Clipboard Toggle word wrap

  2. Saisissez yes pour lancer la procédure de renouvellement : 

    Enter "yes" to proceed: yes
Proceeding.
Renewed Dogtag sslserver certificate:
  Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
  Serial:  268369925
  Expires: 2021-08-14 02:19:33
...

Becoming renewal master.
The ipa-cert-fix command was successful
    Copy to Clipboard Toggle word wrap

    Il peut s'écouler jusqu'à une minute avant que ipa-cert-fix ne renouvelle tous les certificats expirés.

  3. Si vous le souhaitez, vérifiez que tous les services sont en cours d'exécution : 

    # ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa: INFO: The ipactl command was successful
    Copy to Clipboard Toggle word wrap

À ce stade, les certificats ont été renouvelés et les services fonctionnent. L'étape suivante consiste à vérifier les autres serveurs du domaine IdM.

Note

Si vous devez réparer des certificats sur plusieurs serveurs d'autorité de certification :

  1. Après avoir vérifié que la réplication LDAP fonctionne dans la topologie, exécutez d'abord ipa-cert-fix sur un serveur d'autorité de certification, conformément à la procédure ci-dessus.
  2. Avant d'exécuter ipa-cert-fix sur un autre serveur d'autorité de certification, déclenchez les renouvellements de Certmonger pour les certificats partagés via getcert-resubmit (sur l'autre serveur d'autorité de certification), afin d'éviter le renouvellement inutile des certificats partagés.
Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat