홈
제품
Red Hat Enterprise Linux
10
IdM에서 인증서 관리
23장. CA 갱신 서버 및 CRL 게시자 역할을 수행하는 서버 해제

23장. CA 갱신 서버 및 CRL 게시자 역할을 수행하는 서버 해제

CA(인증 기관) 갱신 서버 역할과 CRL(Certificate Revocation List) 게시자 역할을 모두 수행하는 서버가 하나 있을 수 있습니다. 이 서버를 오프라인 상태로 설정하거나 해제해야 하는 경우 이러한 역할을 수행하도록 다른 CA 서버를 선택하고 구성합니다.

이 예에서 CA 갱신 서버 및 CRL 게시자 역할을 수행하는 호스트 server.idm.example.com 은 해제되어야 합니다. 이 절차에서는 CA 갱신 서버 및 CRL 게시자 역할을 호스트 replica.idm.example.com 으로 전송하고 IdM 환경에서 server.idm.example.com 을 제거합니다.

참고

CA 갱신 서버와 CRL 게시자 역할을 모두 수행하도록 동일한 서버를 구성할 필요가 없습니다.

사전 요구 사항

IdM 관리자 인증 정보가 있습니다.
해제 중인 서버의 root 암호가 있습니다.
IdM 환경에 두 개 이상의 CA 복제본이 있습니다.

프로세스

IdM 관리자 인증 정보를 가져옵니다.
```
kinit admin
```
```
[user@server ~]$ kinit admin
Password for admin@IDM.EXAMPLE.COM:
```
Copy to Clipboard Toggle word wrap

선택 사항: CA 갱신 서버 및 CRL 게시자 역할을 수행하는 서버가 확실하지 않은 경우:

현재 CA 갱신 서버를 표시합니다. IdM 서버에서 다음 명령을 실행할 수 있습니다.
```
ipa config-show | grep 'CA renewal'
```
```
[user@server ~]$ ipa config-show | grep 'CA renewal'
  IPA CA renewal master: server.idm.example.com
```
Copy to Clipboard Toggle word wrap
호스트가 현재 CRL 게시자인지 테스트합니다.
```
ipa-crlgen-manage status
```
```
[user@server ~]$ ipa-crlgen-manage status
CRL generation: enabled
Last CRL update: 2019-10-31 12:00:00
Last CRL Number: 6
The ipa-crlgen-manage command was successful
```
Copy to Clipboard Toggle word wrap
CRL을 생성하지 않는 CA 서버에 CRL 생성: disabled 가 표시됩니다.
```
ipa-crlgen-manage status
```
```
[user@replica ~]$ ipa-crlgen-manage status
CRL generation: disabled
The ipa-crlgen-manage command was successful
```
Copy to Clipboard Toggle word wrap
CRL 게시자 서버를 찾을 때까지 CA 서버에서 이 명령을 계속 입력합니다.

이러한 역할을 충족하기 위해 승격할 수 있는 다른 모든 CA 서버를 표시합니다. 이 환경에는 두 개의 CA 서버가 있습니다.

ipa server-role-find --role 'CA server'

[user@server ~]$ ipa server-role-find --role 'CA server'
----------------------
2 server roles matched
----------------------
  Server name: server.idm.example.com
  Role name: CA server
  Role status: enabled
  Server name: replica.idm.example.com
  Role name: CA server
  Role status: enabled
----------------------------
Number of entries returned 2
----------------------------

Copy to Clipboard

Toggle word wrap

replica.idm.example.com 을 CA 갱신 서버로 설정합니다.

ipa config-mod --ca-renewal-master-server replica.idm.example.com

[user@server ~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com

Copy to Clipboard

Toggle word wrap

server.idm.example.com 에서 :
1. 인증서 업데이트기 작업을 비활성화합니다.
  [root@server ~]# pki-server ca-config-set ca.certStatusUpdateInterval 0
  Copy to Clipboard Toggle word wrap
2. IdM 서비스를 다시 시작합니다.
  [root@server ~]# ipactl restart
  Copy to Clipboard Toggle word wrap
replica.idm.example.com 에서 다음을 수행합니다.
1. 인증서 업데이트기 작업을 활성화합니다.
  [root@replica ~]# pki-server ca-config-unset ca.certStatusUpdateInterval
  Copy to Clipboard Toggle word wrap
2. IdM 서비스를 다시 시작합니다.
  [root@replica ~]# ipactl restart
  Copy to Clipboard Toggle word wrap

server.idm.example.com 에서 CRL 생성을 중지합니다.

ipa-crlgen-manage disable

[user@server ~]$ ipa-crlgen-manage disable
Stopping pki-tomcatd
Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
Starting pki-tomcatd
Editing /etc/httpd/conf.d/ipa-pki-proxy.conf
Restarting httpd
CRL generation disabled on the local host. Please make sure to configure CRL generation on another master with ipa-crlgen-manage enable.
The ipa-crlgen-manage command was successful

Copy to Clipboard

Toggle word wrap

replica.idm.example.com 에서 CRL 생성을 시작합니다.

ipa-crlgen-manage enable

[user@replica ~]$ ipa-crlgen-manage enable
Stopping pki-tomcatd
Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
Starting pki-tomcatd
Editing /etc/httpd/conf.d/ipa-pki-proxy.conf
Restarting httpd
Forcing CRL update
CRL generation enabled on the local host. Please make sure to have only a single CRL generation master.
The ipa-crlgen-manage command was successful

Copy to Clipboard

Toggle word wrap

server.idm.example.com 에서 IdM 서비스를 중지합니다.
```
ipactl stop
```
```
[root@server ~]# ipactl stop
```
Copy to Clipboard Toggle word wrap
replica.idm.example.com 에서 IdM 환경에서 server.idm.example.com 을 삭제합니다.
```
ipa server-del server.idm.example.com
```
```
[user@replica ~]$ ipa server-del server.idm.example.com
```
Copy to Clipboard Toggle word wrap
server.idm.example.com 에서 ipa-server-install --uninstall 명령을 root 계정으로 사용합니다.
```
ipa-server-install --uninstall
```
```
[root@server ~]# ipa-server-install --uninstall
...
Are you sure you want to continue with the uninstall procedure? [no]: yes
```
Copy to Clipboard Toggle word wrap

검증

현재 CA 갱신 서버를 표시합니다.

ipa config-show | grep 'CA renewal'

[user@replica ~]$ ipa config-show | grep 'CA renewal'
  IPA CA renewal master: replica.idm.example.com

Copy to Clipboard

Toggle word wrap

replica.idm.example.com 호스트가 CRL을 생성하고 있는지 확인합니다.

ipa-crlgen-manage status

[user@replica ~]$ ipa-crlgen-manage status
CRL generation: enabled
Last CRL update: 2019-10-31 12:10:00
Last CRL Number: 7
The ipa-crlgen-manage command was successful

Copy to Clipboard

Toggle word wrap

맨 위로 이동

23장. CA 갱신 서버 및 CRL 게시자 역할을 수행하는 서버 해제

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links