第13章 IdM がオフライン時に期限切れのシステム証明書の更新
システム証明書の期限が切れると、Identity Management (IdM) が起動できません。IdM は、ipa-cert-fix
ツールを使用して、このような状況であってもシステム証明書の更新に対応します。
前提条件
- IdM が、Red Hat Enterprise Linux 8.1 以降にのみインストールされている。
-
ホストで
ipactl start --ignore-service-failures
コマンドを入力して、LDAP サービスが実行中であることを確認します。
13.1. CA 更新サーバーでの期限切れのシステム証明書の更新
以下の手順に従って、期限切れの IdM 証明書に ipa-cert-fix
ツールを適用します。
CA 更新サーバーではない CA (認証局) ホストで ipa-cert-fix
ツールを実行し、ユーティリティーが共有証明書を更新すると、そのホストは自動的にドメイン内の新しい CA 更新サーバーになります。不整合を避けるために、ドメインには常に CA 更新サーバー 1 つだけを設定する必要があります。
前提条件
- 管理者権限でサーバーにログインしている。
手順
-
(オプション) システムをバックアップします。これは、
ipa-cert-fix
がnssdbs
に対して元に戻せない変更を行うため、強く推奨されます。ipa-cert-fix
は LDAP に対しても変更を行うため、クラスター全体をバックアップすることも推奨されます。 ipa-cert-fix
ツールを起動して、システムを分析し、更新を必要とする期限切れの証明書のリストを表示します。# ipa-cert-fix ... The following certificates will be renewed: Dogtag sslserver certificate: Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205 Serial: 13 Expires: 2019-05-12 05:55:47 ... Enter "yes" to proceed:
更新プロセスを開始するには、
yes
を入力します。Enter "yes" to proceed: true Proceeding. Renewed Dogtag sslserver certificate: Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205 Serial: 268369925 Expires: 2021-08-14 02:19:33 ... Becoming renewal master. The ipa-cert-fix command was successful
ipa-cert-fix
が期限切れの証明書をすべて更新する前に、最大 1 分かかる場合があります。
検証
すべてのサービスが実行されていることを確認します。
# ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING ipa: INFO: The ipactl command was successful
この時点で、証明書が更新され、サービスが実行しています。次の手順は、IdM ドメイン内のその他のサーバーを確認します。
複数の CA サーバーで証明書を修復する必要がある場合は、次のコマンドを実行します。
-
トポロジー全体で LDAP レプリケーションが機能していることを確認したら、上記の手順に従って、最初に 1 つの CA サーバーで
ipa-cert-fix
を実行します。 -
別の CA サーバーで
ipa-cert-fix
を実行する前に、(別の CA サーバーの)getcert-resubmit
を介して共有証明書の Certmonger 更新をトリガーして、共有証明書の不必要な更新を回避します。