11.2. IdM CA 更新サーバーの変更およびリセット
CA 更新サーバーの使用を止めると、Identity Management (IdM) により、IdM CA サーバーのリストから新しい CA 更新サーバーが自動的に選択されます。システム管理者は、選択に影響を与えることはできません。
新しい IdM CA 更新サーバーを選択できるようにするには、システム管理者が交換を手動で実行する必要があります。CA 更新サーバーを選択してから、現在の更新サーバーの使用を停止するプロセスを開始します。
現在の CA 更新サーバー設定が無効な場合は、IdM CA 更新サーバーをリセットします。
この手順では、CA 更新サーバーを変更またはリセットします。
前提条件
- IdM 管理者認証情報がある。
手順
IdM 管理者認証情報を取得します。
~]$ kinit admin Password for admin@IDM.EXAMPLE.COM:任意で、デプロイメント内のどの IdM サーバーが新しい CA 更新サーバーになるのに必要な CA のロールを持っているかを確認するには、次のコマンドを実行します。
~]$ ipa server-role-find --role 'CA server' ---------------------- 2 server roles matched ---------------------- Server name: server.idm.example.com Role name: CA server Role status: enabled Server name: replica.idm.example.com Role name: CA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
デプロイメントには、2 つの CA サーバーがあります。
必要に応じて、どの CA サーバーが現在の CA 更新サーバーであるかを確認するには、次のコマンドを実行します。
~]$ ipa config-show | grep 'CA renewal' IPA CA renewal master: server.idm.example.com現在の更新サーバーは
server.idm.example.comです。更新サーバー設定を変更するには、
--ca-renewal-master-serverオプションを指定してipa config-modユーティリティーを使用します。~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com | grep 'CA renewal' IPA CA renewal master: replica.idm.example.com重要以下を使用して、新しい CA 更新サーバーに切り替えることもできます。
-
ipa-cacert-manage --renewコマンド。このコマンドは、CA 証明書を更新し、かつコマンドを実行する CA サーバーを新しい CA 更新サーバーにします。 ipa-cert-fixコマンド。このコマンドは、期限切れの証明書が失敗の原因になっている場合にデプロイメントを回復します。また、コマンドを実行する CA サーバーを新しい CA 更新サーバーにします。詳細は IdM がオフライン時に期限切れのシステム証明書の更新 を参照してください。
-
