Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

11.3. Passage d'une autorité de certification externe à une autorité de certification auto-signée dans l'IdM

download PDF

Suivez cette procédure pour passer d'un certificat signé en externe à un certificat auto-signé de l'autorité de certification (AC) de la gestion des identités (IdM). Avec une autorité de certification auto-signée, le renouvellement du certificat de l'autorité de certification est géré automatiquement : un administrateur système n'a pas besoin de soumettre une demande de signature de certificat (CSR) à une autorité externe.

Le passage d'une autorité de certification externe à une autorité de certification auto-signée ne remplace que le certificat de l'autorité de certification. Les certificats signés par l'ancienne autorité de certification restent valables et continuent d'être utilisés. Par exemple, la chaîne de certificats pour le certificat LDAP reste inchangée même après le passage à une autorité de certification auto-signée : 

external_CA certificat > IdM CA certificat > LDAP certificat

Conditions préalables

  • Vous avez un accès root au serveur de renouvellement de l'autorité de certification IdM et à tous les clients et serveurs IdM.

Procédure

  1. Sur le serveur de renouvellement de l'autorité de certification IdM, renouveler le certificat de l'autorité de certification en tant que certificat auto-signé : 

    # ipa-cacert-manage renew --self-signed
Renewing CA certificate, please wait
CA certificate successfully renewed
The ipa-cacert-manage command was successful

  2. SSH à tous les autres serveurs et clients IdM en tant que root. Par exemple : 

    # ssh root@idmclient01.idm.example.com

  3. Sur le client IdM, mettre à jour les bases de données locales de certificats IdM avec les certificats du serveur : 

    [idmclient01 ~]# ipa-certupdate
Systemwide CA database updated.
Systemwide CA database updated.
The ipa-certupdate command was successful

  4. Optionnellement, pour vérifier si la mise à jour a réussi et si le nouveau certificat d'autorité de certification a été ajouté au fichier /etc/ipa/ca.crt: 

    [idmclient01 ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout
[...]
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 39 (0x27)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority
        Validity
            Not Before: Jul  1 16:32:45 2019 GMT
            Not After : Jul  1 16:32:45 2039 GMT
        Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority
[...]

    La sortie montre que la mise à jour a réussi puisque le nouveau certificat d'autorité de certification est listé avec les anciens certificats d'autorité de certification.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.