72.2. 갱신 후 IdM 도메인에서 다른 IdM 서버 확인
ipa-cert-fix
툴을 사용하여 CA 갱신 서버의 인증서를 갱신한 후에는 다음을 수행해야 합니다.
- 도메인에서 다른 모든 IdM(Identity Management) 서버를 다시 시작합니다.
- certmonger 갱신된 인증서가 있는지 확인합니다.
-
만료된 시스템 인증서가 있는 다른 CA(인증 기관) 복제본이 있는 경우
ipa-cert-fix
툴로 해당 인증서를 갱신합니다.
사전 요구 사항
- 관리 권한이 있는 서버에 로그인합니다.
절차
--force
매개변수를 사용하여 IdM을 다시 시작합니다.# ipactl restart --force
--force
매개변수를 사용하면ipactl
유틸리티에서 개별 서비스 시작 실패를 무시합니다. 예를 들어 서버가 만료된 인증서가 있는 CA인 경우pki-tomcat
서비스가 시작되지 않습니다.--force
매개 변수를 사용하기 때문에 예상되고 무시됩니다.재시작 후
certmonger
서비스가 인증서를 갱신했는지 확인합니다(인증 상태가 MONITORING으로 표시됨).# getcert list | egrep '^Request|status:|subject:' Request ID '20190522120745': status: MONITORING subject: CN=IPA RA,O=EXAMPLE.COM 201905222205 Request ID '20190522120834': status: MONITORING subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205 ...
certmonger에서 복제본에서 공유 인증서를 갱신하는
데 시간이 걸릴 수 있습니다.서버가 CA인 경우 이전 명령에서는
pki-tomcat
서비스에서 사용하는 인증서에 대해CA_UNREACHABLE
을 보고합니다.Request ID '20190522120835': status: CA_UNREACHABLE subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205 ...
이 인증서를 갱신하려면
ipa-cert-fix
유틸리티를 사용합니다.# ipa-cert-fix Dogtag sslserver certificate: Subject: CN=ca2.example.com,O=EXAMPLE.COM Serial: 3 Expires: 2019-05-11 12:07:11 Enter "yes" to proceed: yes Proceeding. Renewed Dogtag sslserver certificate: Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205 Serial: 15 Expires: 2019-08-14 04:25:05 The ipa-cert-fix command was successful
이제 모든 IdM 인증서가 갱신되어 올바르게 작동합니다.