ホーム
製品
Red Hat Enterprise Linux
10
Managing certificates in IdM
第24章 CA 更新サーバーと CRL パブリッシャーのロールを実行するサーバーの使用の停止

第24章 CA 更新サーバーと CRL パブリッシャーのロールを実行するサーバーの使用の停止

現在両方の役割を担っているサーバーを廃止する前に、認証局 (CA) 更新サーバーと CRL 発行者のロールを別の CA レプリカに移行してください。

この例では、CA 更新サーバーと CRL パブリッシャーのロールに対応しているホスト server.idm.example.com の使用を停止する必要があります。この手順では、CA 更新サーバーロールおよび CRL パブリッシャーロールをホスト replica.idm.example.com に転送し、IdM 環境から server.idm.example.com を削除します。

注記

CA 更新サーバーと CRL パブリッシャーの両方のロールを実行するために同じサーバーを設定する必要はありません。

前提条件

IdM 管理者認証情報がある。
使用を停止しているサーバーの root パスワードがある。
IdM 環境に、少なくとも 2 つの CA レプリカがある。

手順

IdM 管理者認証情報を取得します。

[user@server ~]$ kinit admin

Password for admin@IDM.EXAMPLE.COM:

オプション: どのサーバーが CA 更新サーバーおよび CRL パブリッシャーのロールを実行しているかわからない場合は、次の手順を実行します。
1. 現在の CA 更新サーバーを表示します。次のコマンドは、任意の IdM サーバーから実行できます。
  [user@server ~]$ ipa config-show | grep 'CA renewal'
  IPA CA renewal master: server.idm.example.com
2. ホストが現在の CRL パブリッシャーであるかどうかをテストします。
  [user@server ~]$ ipa-crlgen-manage status
  CRL generation: enabled Last CRL update: 2019-10-31 12:00:00 Last CRL Number: 6 The ipa-crlgen-manage command was successful
  CRL を生成しない CA サーバーは、CRL generation: disabled を表示します。
  [user@replica ~]$ ipa-crlgen-manage status
  CRL generation: disabled The ipa-crlgen-manage command was successful
  CRL パブリッシャーサーバーが見つかるまで、CA サーバーでこのコマンドを入力し続けます。
3. このロールに対応するために昇格できるその他の CA サーバーをすべて表示します。この環境には 2 台の CA サーバーがあります。
  [user@server ~]$ ipa server-role-find --role 'CA server'
  ---------------------- 2 server roles matched ---------------------- Server name: server.idm.example.com Role name: CA server Role status: enabled Server name: replica.idm.example.com Role name: CA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------

replica.idm.example.com を CA 更新サーバーとして設定します。

[user@server ~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com

server.idm.example.com で、以下を実行します。
1. 証明書更新タスクを無効にします。
  [root@server ~]# pki-server ca-config-set ca.certStatusUpdateInterval 0
2. IdM サービスを再起動します。
  [root@server ~]# ipactl restart
replica.idm.example.com で、以下を実行します。
1. 証明書更新タスクを有効にします。
  [root@replica ~]# pki-server ca-config-unset ca.certStatusUpdateInterval
2. IdM サービスを再起動します。
  [root@replica ~]# ipactl restart

server.idm.example.com で、CRL の生成を中止します。

[user@server ~]$ ipa-crlgen-manage disable

Stopping pki-tomcatd
Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
Starting pki-tomcatd
Editing /etc/httpd/conf.d/ipa-pki-proxy.conf
Restarting httpd
CRL generation disabled on the local host. Please make sure to configure CRL generation on another master with ipa-crlgen-manage enable.
The ipa-crlgen-manage command was successful

replica.idm.example.com で、CRL の生成を開始します。

[user@replica ~]$ ipa-crlgen-manage enable

Stopping pki-tomcatd
Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
Starting pki-tomcatd
Editing /etc/httpd/conf.d/ipa-pki-proxy.conf
Restarting httpd
Forcing CRL update
CRL generation enabled on the local host. Please make sure to have only a single CRL generation master.
The ipa-crlgen-manage command was successful

server.idm.example.com で IdM サービスを停止します。
```
[root@server ~]# ipactl stop
```
replica.idm.example.com で、IdM 環境から server.idm.example.com を削除します。
```
[user@replica ~]$ ipa server-del server.idm.example.com
```

server.idm.example.com で、ipa-server-install --uninstall コマンドを root アカウントとして使用します。

[root@server ~]# ipa-server-install --uninstall
...
Are you sure you want to continue with the uninstall procedure? [no]: yes

検証

現在の CA 更新サーバーを表示します。

[user@replica ~]$ ipa config-show | grep 'CA renewal'

  IPA CA renewal master: replica.idm.example.com

replica.idm.example.com ホストが CRL を生成していることを確認します。

[user@replica ~]$ ipa-crlgen-manage status

CRL generation: enabled
Last CRL update: 2019-10-31 12:10:00
Last CRL Number: 7
The ipa-crlgen-manage command was successful

第24章 CA 更新サーバーと CRL パブリッシャーのロールを実行するサーバーの使用の停止

詳細情報

試用、購入および販売

コミュニティー

会社概要

多様性を受け入れるオープンソースの強化

Red Hat ドキュメントについて

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links