14장. IdM이 오프라인 상태일 때 만료된 시스템 인증서 갱신
시스템 인증서가 만료된 경우 IdM(Identity Management)이 시작되지 않습니다. IdM은 ipa-cert-fix
툴을 사용하여 이 경우에도 시스템 인증서 갱신을 지원합니다.
-
호스트에
ipactl start --ignore-service-failures
명령을 입력하여 LDAP 서비스가 실행 중인지 확인합니다.
14.1. CA 갱신 서버에서 만료된 시스템 인증서 갱신
만료된 IdM 인증서에 ipa-cert-fix
툴을 적용하려면 다음 절차를 따르십시오.
CA 갱신 서버가 아닌 CA(Certificate Authority) 호스트에서 ipa-cert-fix
툴을 실행하고 유틸리티가 공유 인증서를 갱신하는 경우 해당 호스트는 도메인의 새 CA 갱신 서버가 자동으로 됩니다. 불일치를 방지하려면 도메인에 항상 하나의 CA 갱신 서버만 있어야 합니다.
사전 요구 사항
- 관리 권한이 있는 서버에 로그인합니다.
절차
-
선택 사항: 시스템을 백업합니다.
ipa-cert-fix
가nssdbs
에 대한 되돌릴 수 없는 변경을 수행하기 때문에 이는 매우 권장됩니다.ipa-cert-fix
도 LDAP를 변경하므로 전체 클러스터를 백업하는 것이 좋습니다. ipa-cert-fix
툴을 시작하여 시스템을 분석하고 갱신이 필요한 만료된 인증서를 나열합니다.# ipa-cert-fix ... The following certificates will be renewed: Dogtag sslserver certificate: Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205 Serial: 13 Expires: 2019-05-12 05:55:47 ... Enter "yes" to proceed:
yes
를 입력하여 갱신 프로세스를 시작합니다.Enter "yes" to proceed: true Proceeding. Renewed Dogtag sslserver certificate: Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205 Serial: 268369925 Expires: 2021-08-14 02:19:33 ... Becoming renewal master. The ipa-cert-fix command was successful
ipa-cert-fix
가 만료된 모든 인증서를 갱신하기까지 최대 1분 정도 걸릴 수 있습니다.
검증
모든 서비스가 실행 중인지 확인합니다.
# ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING ipa: INFO: The ipactl command was successful
이 시점에서 인증서가 갱신되어 서비스가 실행됩니다. 다음 단계는 IdM 도메인의 다른 서버를 확인하는 것입니다.
여러 CA 서버에서 인증서를 복구해야 하는 경우:
-
토폴로지에서 LDAP 복제가 작동하는지 확인한 후 먼저 위 절차에 따라 하나의 CA 서버에서
ipa-cert-fix
를 실행합니다. -
다른 CA 서버에서
ipa-cert-fix
를 실행하기 전에, 공유 인증서의 불필요한 갱신을 방지하기 위해getcert-resubmit
(다른 CA 서버의 경우)을 통해 공유 인증서에 대한 Certmonger 갱신을 트리거합니다.