13.2. 更新後の IdM ドメイン内の他の IdM サーバーの検証
ipa-cert-fix ツールで、CA 更新サーバーを更新したら、以下を行う必要があります。
- ドメインのその他の Identity Management (IdM) サーバーをすべて再起動する。
- certmonger が証明書を更新したかどうかを確認する。
-
期限切れのシステム証明書でその他の認証局 (CA) レプリカがある場合は、証明書も
ipa-cert-fixツールで更新する。
前提条件
- 管理者権限でサーバーにログインしている。
手順
--forceパラメーターで IdM を再起動します。# ipactl restart --force
--forceパラメーターを使用すると、ipactlユーティリティーは個々のサービスの起動失敗を無視します。たとえば、サーバーに期限切れの証明書を持つ CA もあると、pki-tomcatサービスが起動に失敗します。--forceパラメーターを使用しているため、これが予想され、無視されます。再起動後に、
certmongerサービスが証明書を更新することを確認します (証明書の状態は MONITORING になります)。# getcert list | egrep '^Request|status:|subject:' Request ID '20190522120745': status: MONITORING subject: CN=IPA RA,O=EXAMPLE.COM 201905222205 Request ID '20190522120834': status: MONITORING subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205 ...certmongerがレプリカ上で共有証明書を更新する前に時間がかかる場合があります。サーバーも CA の場合、上記のコマンドは、
pki-tomcatサービスが使用する証明書のCA_UNREACHABLEを報告します。Request ID '20190522120835': status: CA_UNREACHABLE subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205 ...この証明書を更新するには、
ipa-cert-fixユーティリティーを使用します。# ipa-cert-fix Dogtag sslserver certificate: Subject: CN=ca2.example.com,O=EXAMPLE.COM Serial: 3 Expires: 2019-05-11 12:07:11 Enter "yes" to proceed: true Proceeding. Renewed Dogtag sslserver certificate: Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205 Serial: 15 Expires: 2019-08-14 04:25:05 The ipa-cert-fix command was successful
これで、すべての IdM 証明書が更新され、正常に機能するようになりました。
