Red Hat Summit22.3. 期限切れの IdM CA 証明書の回復
これは最も重大な障害です。IdM CA 証明書自体の有効期限が切れると、証明書を検証または発行できなくなります。この回復プロセスでは、システムの機能を復元するために、CA 証明書を自己署名証明書として更新します。その後、必要に応じて外部 CA を使用して再署名します (それが元の設定であった場合)。
手順
更新サーバーで、CA 証明書を自己署名証明書として更新します。このコマンドは、既存の秘密鍵を使用して、有効期間が更新された新しい CA 証明書を生成します。
ipa-cacert-manage renew --self-signed
# ipa-cacert-manage renew --self-signedCopy to Clipboard Copied! Toggle word wrap Toggle overflow 証明書の有効期限が近づいているにもかかわらず、更新しても有効期限が延長されなかった場合は、When IPA’s CA certificate is close to expiry date, renewing it doesn’t push forward the expiry date を参照してください。
更新サーバー上の期限切れのサービス証明書を修正します。
IdM サービスを停止します。
ipactl stop
# ipactl stopCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipa-cert-fixコマンドを実行して、IdM データベースにある期限切れのサービス証明書の有効期限をリセットします。ipa-cert-fix
# ipa-cert-fixCopy to Clipboard Copied! Toggle word wrap Toggle overflow 新しい証明書を発行し、IdM サービスに適用します。
ipa-certupdate
# ipa-certupdateCopy to Clipboard Copied! Toggle word wrap Toggle overflow IdM サービスを再起動し、更新を完了します。
ipactl start
# ipactl startCopy to Clipboard Copied! Toggle word wrap Toggle overflow
元のセットアップで外部署名 CA を使用していた場合は、新しい CA 証明書を外部認証局によって再署名してもらう必要があります。自己署名 CA を使用する場合は、このステップをスキップしてください。
新しく更新された CA の証明書署名要求 (CSR) を生成します。
ipa-cacert-manage renew --external-ca
# ipa-cacert-manage renew --external-caCopy to Clipboard Copied! Toggle word wrap Toggle overflow これにより、
/var/lib/ipa/ca.csrに CSR ファイルが作成されます。- CSR ファイルを外部 CA に送信し、新しく署名された証明書と外部 CA の信頼チェーンを受け取ります。
新しく署名された証明書を IdM に再度インストールします。
ipa-cacert-manage renew --external-cert-file /path/to/new-ca.pem --external-cert-file /path/to/external-chain.pem
# ipa-cacert-manage renew --external-cert-file /path/to/new-ca.pem --external-cert-file /path/to/external-chain.pemCopy to Clipboard Copied! Toggle word wrap Toggle overflow
新しい CA 証明書をすべての IdM サーバーとクライアントに伝播します。まず更新サーバー上で
ipa-certupdateを実行し、次に他のすべてのレプリカ上で実行し、最後にすべてのクライアント上で実行します。ipa-certupdate
# ipa-certupdateCopy to Clipboard Copied! Toggle word wrap Toggle overflow このステップは、トポロジー内のすべてのシステムに新しい CA 証明書を信頼させるうえで不可欠です。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}