25.3. IdM 内部証明書の更新プロセス
デフォルトでは、certmonger は内部証明書を追跡し、更新をトリガーして、IdM CA に新しい証明書を発行するように要求します。
外部 CA を使用していて、内部証明書がこの CA によって発行された場合、それらは自動的に更新されません。この場合、証明書の有効期限を監視し、有効期限が切れる前に証明書を更新するようにしてください。更新プロセスは時間がかかるため、有効期限を慎重に追跡しないと、証明書の有効期限が切れ、一部のサービスが利用できなくなります。
内部の Red Hat Identity Management (IdM) 証明書の有効期限が切れると、IdM は起動できません。
IdM CA 更新サーバーは、有効期限の 28 日前に共有内部証明書を更新します。certmonger はこの更新をトリガーし、新しい証明書を cn=<nickname>,cn=ca_renewal,cn=ipa,cn=etc,$BASEDN にアップロードします。certmonger は、他の IdM サーバーで更新プロセスもトリガーしますが、CA 以外の更新サーバーで実行するため、新しい証明書を要求せずに、LDAP から証明書をダウンロードします。Server-Cert cert-pki-ca、HTTP、LDAP、および PKINIT 証明書は、各レプリカに固有であり、サブジェクトのホスト名が含まれています。
証明書の有効期限が切れる前に getcert を使用して共有証明書を手動で更新すると、更新プロセスは他のレプリカでトリガーされず、LDAP から更新された証明書のダウンロードを実行するために、他のレプリカで getcert を実行する必要があります。
