18.4. IdM における外部 CA 公開証明書の更新

手順

1. 新しい外部 CA 証明書と、その外部 CA の完全な CA 証明書チェーンを、追加の CA 証明書として IdM にインストールします。このシステムは、PEM、DER、PKCS#7、PKCS#8、生の秘密鍵、および PKCS#12 形式の証明書ファイルを受け付けます。

   1. トポロジー内のいずれかの IdM サーバーで、.crt ファイルから更新された外部 CA 証明書と証明書チェーンを IdM に追加します。

      # ipa-cacert-manage install /path/to/ca.crt

      CA 証明書は LDAP ストレージ (cn=certificates,cn=ipa,cn=etc,dc=レルム,dc=name) にインストールされます。

   2. 残りの証明書チェーンを追加の CA 証明書として IdM にインストールします。ipa-cacert-manage install コマンドは、ファイル内の最初の証明書しか読み取りません。そのため、完全な CA チェーンをインストールするには、証明書を 1 つずつインストールする必要があります。たとえば、チェーンに 2 つの証明書が含まれている場合は、各証明書を個別のファイルに保存し、ファイルごとに ipa-cacert-manage install を個別に実行します。

      # ipa-cacert-manage install /path/to/intermediate-ca.crt

      # ipa-cacert-manage install /path/to/root-ca.crt

2. ipa-certupdate を実行してローカル NSS データベースと /etc/ipa/ca.crt を LDAP と同期させ、トポロジー内の他のすべての IdM サーバーを更新します。

   # ipa-certupdate

3. IdM サーバーを更新した後、すべての IdM クライアントで外部 CA 証明書を更新してください。

   # ipa-certupdate

   IdM LDAP ストレージからすべてのデータを取得し、/etc/ipa/ ca.crt のメイン証明書チェーンに配置します。

検証

1. アップデートが成功し、新しい外部 CA 証明書が /etc/ipa/ca.crt ファイルに追加されたかどうかを確認するには、以下を参照してください。

   [client ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout

   [...]
   Certificate:
       Data:
           Version: 3 (0x2)
           Serial Number: 39 (0x27)
           Signature Algorithm: sha256WithRSAEncryption
           Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority
           Validity
               Not Before: Jul  1 16:32:45 2019 GMT
               Not After : Jul  1 16:32:45 2039 GMT
           Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority
   [...]

   この出力は、新規 CA 証明書が古い CA 証明書と共にリストされているため、更新が正常に行われたことを示しています。