23장. CA 갱신 서버 및 CRL 게시자 역할을 수행하는 서버 해제
CA(인증 기관) 갱신 서버 역할과 CRL(Certificate Revocation List) 게시자 역할을 모두 수행하는 서버가 하나 있을 수 있습니다. 이 서버를 오프라인 상태로 설정하거나 해제해야 하는 경우 이러한 역할을 수행하도록 다른 CA 서버를 선택하고 구성합니다.
이 예에서 CA 갱신 서버 및 CRL 게시자 역할을 수행하는 호스트 server.idm.example.com
은 해제되어야 합니다. 이 절차에서는 CA 갱신 서버 및 CRL 게시자 역할을 호스트 replica.idm.example.com
으로 전송하고 IdM 환경에서 server.idm.example.com
을 제거합니다.
CA 갱신 서버와 CRL 게시자 역할을 모두 수행하도록 동일한 서버를 구성할 필요가 없습니다.
사전 요구 사항
- IdM 관리자 인증 정보가 있습니다.
- 해제 중인 서버의 root 암호가 있습니다.
- IdM 환경에 두 개 이상의 CA 복제본이 있습니다.
프로세스
IdM 관리자 인증 정보를 가져옵니다.
kinit admin
[user@server ~]$ kinit admin Password for admin@IDM.EXAMPLE.COM:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 선택 사항: CA 갱신 서버 및 CRL 게시자 역할을 수행하는 서버가 확실하지 않은 경우:
현재 CA 갱신 서버를 표시합니다. IdM 서버에서 다음 명령을 실행할 수 있습니다.
ipa config-show | grep 'CA renewal'
[user@server ~]$ ipa config-show | grep 'CA renewal' IPA CA renewal master: server.idm.example.com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 호스트가 현재 CRL 게시자인지 테스트합니다.
ipa-crlgen-manage status
[user@server ~]$ ipa-crlgen-manage status CRL generation: enabled Last CRL update: 2019-10-31 12:00:00 Last CRL Number: 6 The ipa-crlgen-manage command was successful
Copy to Clipboard Copied! Toggle word wrap Toggle overflow CRL을 생성하지 않는 CA 서버에
CRL 생성: disabled
가 표시됩니다.ipa-crlgen-manage status
[user@replica ~]$ ipa-crlgen-manage status CRL generation: disabled The ipa-crlgen-manage command was successful
Copy to Clipboard Copied! Toggle word wrap Toggle overflow CRL 게시자 서버를 찾을 때까지 CA 서버에서 이 명령을 계속 입력합니다.
이러한 역할을 충족하기 위해 승격할 수 있는 다른 모든 CA 서버를 표시합니다. 이 환경에는 두 개의 CA 서버가 있습니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
replica.idm.example.com
을 CA 갱신 서버로 설정합니다.ipa config-mod --ca-renewal-master-server replica.idm.example.com
[user@server ~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow server.idm.example.com
에서 :인증서 업데이트기 작업을 비활성화합니다.
pki-server ca-config-set ca.certStatusUpdateInterval 0
[root@server ~]# pki-server ca-config-set ca.certStatusUpdateInterval 0
Copy to Clipboard Copied! Toggle word wrap Toggle overflow IdM 서비스를 다시 시작합니다.
ipactl restart
[root@server ~]# ipactl restart
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
replica.idm.example.com
에서 다음을 수행합니다.인증서 업데이트기 작업을 활성화합니다.
pki-server ca-config-unset ca.certStatusUpdateInterval
[root@replica ~]# pki-server ca-config-unset ca.certStatusUpdateInterval
Copy to Clipboard Copied! Toggle word wrap Toggle overflow IdM 서비스를 다시 시작합니다.
ipactl restart
[root@replica ~]# ipactl restart
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
server.idm.example.com
에서 CRL 생성을 중지합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow replica.idm.example.com
에서 CRL 생성을 시작합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow server.idm.example.com
에서 IdM 서비스를 중지합니다.ipactl stop
[root@server ~]# ipactl stop
Copy to Clipboard Copied! Toggle word wrap Toggle overflow replica.idm.example.com
에서 IdM 환경에서server.idm.example.com
을 삭제합니다.ipa server-del server.idm.example.com
[user@replica ~]$ ipa server-del server.idm.example.com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow server.idm.example.com
에서ipa-server-install --uninstall
명령을 root 계정으로 사용합니다.ipa-server-install --uninstall
[root@server ~]# ipa-server-install --uninstall ... Are you sure you want to continue with the uninstall procedure? [no]: yes
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
현재 CA 갱신 서버를 표시합니다.
ipa config-show | grep 'CA renewal'
[user@replica ~]$ ipa config-show | grep 'CA renewal' IPA CA renewal master: replica.idm.example.com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow replica.idm.example.com
호스트가 CRL을 생성하고 있는지 확인합니다.ipa-crlgen-manage status
[user@replica ~]$ ipa-crlgen-manage status CRL generation: enabled Last CRL update: 2019-10-31 12:10:00 Last CRL Number: 7 The ipa-crlgen-manage command was successful
Copy to Clipboard Copied! Toggle word wrap Toggle overflow