22.3. 期限切れの IdM CA 証明書の回復

手順

1. 更新サーバーで、CA 証明書を自己署名証明書として更新します。このコマンドは、既存の秘密鍵を使用して、有効期間が更新された新しい CA 証明書を生成します。

   # ipa-cacert-manage renew --self-signed

   証明書の有効期限が近づいているにもかかわらず、更新しても有効期限が延長されなかった場合は、When IPA’s CA certificate is close to expiry date, renewing it doesn’t push forward the expiry date を参照してください。

2. 更新サーバー上の期限切れのサービス証明書を修正します。

   1. IdM サービスを停止します。

      # ipactl stop

   2. ipa-cert-fix コマンドを実行して、IdM データベースにある期限切れのサービス証明書の有効期限をリセットします。

      # ipa-cert-fix

   3. 新しい証明書を発行し、IdM サービスに適用します。

      # ipa-certupdate

   4. IdM サービスを再起動し、更新を完了します。

      # ipactl start

3. 元のセットアップで外部署名 CA を使用していた場合は、新しい CA 証明書を外部認証局によって再署名してもらう必要があります。自己署名 CA を使用する場合は、このステップをスキップしてください。

   1. 新しく更新された CA の証明書署名要求 (CSR) を生成します。

      # ipa-cacert-manage renew --external-ca

      これにより、/var/lib/ipa/ca.csr に CSR ファイルが作成されます。

   2. CSR ファイルを外部 CA に送信し、新しく署名された証明書と外部 CA の信頼チェーンを受け取ります。

   3. 新しく署名された証明書を IdM に再度インストールします。

      # ipa-cacert-manage renew --external-cert-file /path/to/new-ca.pem --external-cert-file /path/to/external-chain.pem

4. 新しい CA 証明書をすべての IdM サーバーとクライアントに伝播します。まず更新サーバー上で ipa-certupdate を実行し、次に他のすべてのレプリカ上で実行し、最後にすべてのクライアント上で実行します。

   # ipa-certupdate

   このステップは、トポロジー内のすべてのシステムに新しい CA 証明書を信頼させるうえで不可欠です。