13.2. 갱신 후 IdM 도메인의 다른 IdM 서버 확인
ipa-cert-fix 도구를 사용하여 CA 갱신 서버의 인증서를 갱신한 후 다음을 수행해야 합니다.
- 도메인에서 다른 IdM(Identity Management) 서버를 다시 시작합니다.
- certmonger가 인증서를 갱신했는지 확인합니다.
-
만료된 시스템 인증서가 있는 다른 CA(인증 기관) 복제본이 있는 경우
ipa-cert-fix툴을 사용하여 해당 인증서를 갱신합니다.
사전 요구 사항
- 관리 권한이 있는 서버에 로그인합니다.
절차
--force매개변수를 사용하여 IdM을 다시 시작하십시오.# ipactl restart --force
--force매개변수를 사용하면ipactl유틸리티에서 개별 서비스 시작 실패를 무시합니다. 예를 들어 서버가 만료된 인증서가 있는 CA인 경우pki-tomcat서비스가 시작되지 않습니다. 이는--force매개 변수를 사용하기 때문에 예상되고 무시됩니다.다시 시작한 후
certmonger서비스가 인증서를 갱신하는지 확인합니다(인증서 상태가 MONITORING이라고 함).# getcert list | egrep '^Request|status:|subject:' Request ID '20190522120745': status: MONITORING subject: CN=IPA RA,O=EXAMPLE.COM 201905222205 Request ID '20190522120834': status: MONITORING subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205 ...certmonger가 복제본의 공유 인증서를 갱신하기 전에 다소 시간이 걸릴 수 있습니다.서버가 CA인 경우 이전 명령은
pki-tomcat서비스에서 사용하는 인증서에 대해CA_UNREACHABLE을 보고합니다.Request ID '20190522120835': status: CA_UNREACHABLE subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205 ...이 인증서를 업데이트하려면
ipa-cert-fix유틸리티를 사용하십시오.# ipa-cert-fix Dogtag sslserver certificate: Subject: CN=ca2.example.com,O=EXAMPLE.COM Serial: 3 Expires: 2019-05-11 12:07:11 Enter "yes" to proceed: true Proceeding. Renewed Dogtag sslserver certificate: Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205 Serial: 15 Expires: 2019-08-14 04:25:05 The ipa-cert-fix command was successful
이제 모든 IdM 인증서가 올바르게 갱신되고 작동합니다.
