17장. IdM CA 서버에서 CRL 생성
IdM 배포 시 포함된 CA(인증 기관)를 사용하는 경우 하나의 IdM(Identity Management) 서버에서 다른 IdM(Identity Management)으로 CRL(Certificate Revocation List)을 생성해야 할 수도 있습니다. 예를 들어 서버를 다른 시스템으로 마이그레이션하려는 경우 필요할 수 있습니다.
CRL을 생성하도록 하나의 서버만 구성합니다. CRL 게시자 역할을 수행하는 IdM 서버는 일반적으로 CA 갱신 서버 역할을 수행하는 동일한 서버이지만 필수는 아닙니다. CRL 게시자 서버를 해제하기 전에 CRL 게시자 서버 역할을 수행하도록 다른 서버를 선택하고 구성하십시오.
17.1. IdM 서버에서 CRL 생성 중지
IdM CRL 게시자 서버에서 CRL(Certificate Revocation List) 생성을 중지하려면 ipa-crlgen-manage 명령을 사용합니다. 생성을 비활성화하기 전에 서버가 실제로 CRL을 생성하는지 확인합니다. 그러면 비활성화할 수 있습니다.
사전 요구 사항
- root로 로그인해야 합니다.
절차
서버가 CRL을 생성 중인지 확인합니다.
[root@server ~]# ipa-crlgen-manage status CRL generation: enabled Last CRL update: 2019-10-31 12:00:00 Last CRL Number: 6 The ipa-crlgen-manage command was successful
서버에서 CRL 생성을 중지합니다.
[root@server ~]# ipa-crlgen-manage disable Stopping pki-tomcatd Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg Starting pki-tomcatd Editing /etc/httpd/conf.d/ipa-pki-proxy.conf Restarting httpd CRL generation disabled on the local host. Please make sure to configure CRL generation on another master with ipa-crlgen-manage enable. The ipa-crlgen-manage command was successful서버가 CRL 생성을 중지했는지 확인합니다.
[root@server ~]# ipa-crlgen-manage status
서버가 CRL 생성을 중지했습니다. 다음 단계는 IdM 복제본에서 CRL 생성을 활성화하는 것입니다.
