D.4. 마스터 CA 서버로 복제 승격
IdM 배포에서 임베디드 CA(인증 기관)를 사용하는 경우 IdM CA 서버 중 하나가 마스터 CA 역할을 합니다. CA 하위 시스템의 인증서 갱신을 관리하고 CRL(인증서 폐기 목록)을 생성합니다. 기본적으로 마스터 CA는 시스템 관리자가 ipa-server-install 또는 ipa-ca-install 명령을 사용하여 CA 역할을 설치한 첫 번째 서버입니다.
마스터 CA 서버를 오프라인으로 사용하거나 해제하려는 경우 복제본을 마스터 CA로 대체하도록 승격 합니다.
- 복제본이 CA 하위 시스템 인증서 갱신을 처리하도록 구성되었는지 확인합니다. D.4.1절. “Which Server가 인증서 갱신을 처리하는 변경” 참조하십시오.
- CRL을 생성하도록 복제본을 구성합니다. 6.5.2.2절. “CRL을 생성하는 서버 변경” 참조하십시오.
D.4.1. Which Server가 인증서 갱신을 처리하는 변경
인증서 갱신을 처리하는 서버를 변경하려면 IdM 서버에서 다음 절차를 사용하십시오.
- 현재 갱신 마스터인 서버를 확인합니다.
- Red Hat Enterprise Linux 7.3 이상에서 다음을 수행합니다.
$ ipa config-show | grep "CA renewal master" IPA CA renewal master: server.example.com
- Red Hat Enterprise Linux 7.2 이하의 경우:
$ ldapsearch -H ldap://$HOSTNAME -D 'cn=Directory Manager' -W -b 'cn=masters,cn=ipa,cn=etc,dc=example,dc=com' '(&(cn=CA)(ipaConfigString=caRenewalMaster))' dn ... # CA, server.example.com, masters, ipa, etc, example.com dn: cn=CA,cn=server.example.com,cn=masters,cn=ipa,cn=etc,dc=example,dc=com ...
두 예 모두에서server.example.com
은 현재 갱신 마스터입니다. - 인증서 갱신을 처리하도록 다른 서버를 설정하려면 다음을 수행합니다.
- Red Hat Enterprise Linux 7.4 이상에서 다음을 수행합니다.
# ipa config-mod --ca-renewal-master-server new_server.example.com
- Red Hat Enterprise Linux 7.3 이하의 경우:
# ipa-csreplica-manage set-renewal-master
참고이 명령은 명령을 새 갱신 마스터로 실행하는 서버를 설정합니다.
또한 이러한 명령은 이전 CA를 갱신 마스터에서 복제본으로 자동으로 재구성합니다.