Red Hat Summit18장. CA 갱신 서버 및 CRL 게시자 역할을 수행하는 서버 해제
CA(인증 기관) 갱신 서버 역할과 CRL(Certificate Revocation List) 게시자 역할을 모두 수행하는 하나의 서버가 있을 수 있습니다. 이 서버를 오프라인으로 전환하거나 해제해야 하는 경우 다른 CA 서버를 선택하고 구성하여 이러한 역할을 수행합니다.
이 예에서는 CA 갱신 서버 및 CRL 게시자 역할을 수행하는 호스트 server.idm.example.com 을 해제해야 합니다. 이 절차에서는 CA 갱신 서버 및 CRL 게시자 역할을 호스트 replica.idm.example.com 에 전송하고 IdM 환경에서 server.idm.example.com 을 제거합니다.
CA 갱신 서버 및 CRL 게시자 역할을 모두 수행하도록 동일한 서버를 구성할 필요가 없습니다.
사전 요구 사항
- IdM 관리자 인증 정보가 있습니다.
- 해제 중인 서버의 루트 암호가 있습니다.
- IdM 환경에 두 개 이상의 CA 복제본이 있습니다.
절차
IdM 관리자 자격 증명을 가져옵니다.
[user@server ~]$ kinit admin Password for admin@IDM.EXAMPLE.COM:
선택 사항: CA 갱신 서버 및 CRL 게시자 역할을 수행하는 서버가 확실하지 않은 경우:
현재 CA 갱신 서버를 표시합니다. IdM 서버에서 다음 명령을 실행할 수 있습니다.
[user@server ~]$ ipa config-show | grep 'CA renewal' IPA CA renewal master: server.idm.example.com
호스트가 현재 CRL 게시자인지 테스트합니다.
[user@server ~]$ ipa-crlgen-manage status CRL generation: enabled Last CRL update: 2019-10-31 12:00:00 Last CRL Number: 6 The ipa-crlgen-manage command was successfulCRL을 생성하지 않는 CA 서버는
CRL 생성: disabled를 표시합니다.[user@replica ~]$ ipa-crlgen-manage status CRL generation: disabled The ipa-crlgen-manage command was successfulCRL 게시자 서버를 찾을 때까지 CA 서버에 이 명령을 계속 입력합니다.
이러한 역할을 충족하도록 승격할 수 있는 다른 모든 CA 서버를 표시합니다. 이 환경에는 두 개의 CA 서버가 있습니다.
[user@server ~]$ ipa server-role-find --role 'CA server' ---------------------- 2 server roles matched ---------------------- Server name: server.idm.example.com Role name: CA server Role status: enabled Server name: replica.idm.example.com Role name: CA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
replica.idm.example.com을 CA 갱신 서버로 설정합니다.[user@server ~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com
server.idm.example.com에서 :인증서 업데이트 프로그램 작업을 비활성화합니다.
[root@server ~]# pki-server ca-config-set ca.certStatusUpdateInterval 0
IdM 서비스를 다시 시작하십시오.
[root@server ~]# ipactl restart
replica.idm.example.com에서 :인증서 업데이트 프로그램 작업을 활성화합니다.
[root@replica ~]# pki-server ca-config-unset ca.certStatusUpdateInterval
IdM 서비스를 다시 시작하십시오.
[root@replica ~]# ipactl restart
server.idm.example.com에서 CRL 생성을 중지합니다.[user@server ~]$ ipa-crlgen-manage disable Stopping pki-tomcatd Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg Starting pki-tomcatd Editing /etc/httpd/conf.d/ipa-pki-proxy.conf Restarting httpd CRL generation disabled on the local host. Please make sure to configure CRL generation on another master with ipa-crlgen-manage enable. The ipa-crlgen-manage command was successful
replica.idm.example.com에서 CRL 생성을 시작합니다.[user@replica ~]$ ipa-crlgen-manage enable Stopping pki-tomcatd Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg Starting pki-tomcatd Editing /etc/httpd/conf.d/ipa-pki-proxy.conf Restarting httpd Forcing CRL update CRL generation enabled on the local host. Please make sure to have only a single CRL generation master. The ipa-crlgen-manage command was successful
server.idm.example.com에서 IdM 서비스를 중지합니다.[root@server ~]# ipactl stop
replica.idm.example.com에서 IdM 환경에서server.idm.example.com을 삭제합니다.[user@replica ~]$ ipa server-del server.idm.example.com
server.idm.example.com에서ipa-server-install --uninstall명령을 루트 계정으로 사용합니다.[root@server ~]# ipa-server-install --uninstall ... Are you sure you want to continue with the uninstall procedure? [no]: yes
검증
현재 CA 갱신 서버를 표시합니다.
[user@replica ~]$ ipa config-show | grep 'CA renewal' IPA CA renewal master: replica.idm.example.comreplica.idm.example.com호스트에서 CRL을 생성하는지 확인합니다.[user@replica ~]$ ipa-crlgen-manage status CRL generation: enabled Last CRL update: 2019-10-31 12:10:00 Last CRL Number: 7 The ipa-crlgen-manage command was successful
