SupportConsoleDéveloppeursCommencer un essaiContact

12.2. Vérification des autres serveurs IdM dans le domaine IdM après le renouvellement

Après avoir renouvelé les certificats du serveur de renouvellement de l'autorité de certification à l'aide de l'outil ipa-cert-fix, vous devez :

  • Redémarrer tous les autres serveurs de gestion des identités (IdM) du domaine.
  • Vérifier si le certificateur a renouvelé les certificats.
  • S'il existe d'autres répliques d'autorité de certification (CA) dont les certificats système ont expiré, renouvelez également ces certificats à l'aide de l'outil ipa-cert-fix.

Conditions préalables

  • Connectez-vous au serveur avec des droits d'administration.

Procédure

  1. Redémarrer IdM avec le paramètre --force: 

    # ipactl restart --force

    Avec le paramètre --force, l'utilitaire ipactl ignore les échecs de démarrage des services individuels. Par exemple, si le serveur est également une autorité de certification dont les certificats ont expiré, le service pki-tomcat ne démarre pas. Ce phénomène est attendu et ignoré en raison de l'utilisation du paramètre --force.

  2. Après le redémarrage, vérifiez que le service certmonger a renouvelé les certificats (l'état des certificats indique MONITORING) : 

    # getcert list | egrep '^Request|status:|subject:'
Request ID '20190522120745':
        status: MONITORING
        subject: CN=IPA RA,O=EXAMPLE.COM 201905222205
Request ID '20190522120834':
        status: MONITORING
        subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205
...

    Il peut s'écouler un certain temps avant que certmonger ne renouvelle les certificats partagés sur la réplique.

  3. Si le serveur est également une autorité de certification, la commande précédente indique CA_UNREACHABLE pour le certificat utilisé par le service pki-tomcat: 

    Request ID '20190522120835':
        status: CA_UNREACHABLE
        subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
...

  4. Pour renouveler ce certificat, utilisez l'utilitaire ipa-cert-fix: 

    # ipa-cert-fix
Dogtag sslserver certificate:
  Subject: CN=ca2.example.com,O=EXAMPLE.COM
  Serial:  3
  Expires: 2019-05-11 12:07:11

Enter "yes" to proceed: yes
Proceeding.
Renewed Dogtag sslserver certificate:
  Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
  Serial:  15
  Expires: 2019-08-14 04:25:05

The ipa-cert-fix command was successful

Désormais, tous les certificats IdM ont été renouvelés et fonctionnent correctement.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.