Pesquisar

48.7. Fazendo o certmonger retomar o rastreamento de certificados IdM em uma réplica do CA

download PDF

Este procedimento mostra como fazer certmonger retomar o rastreamento de certificados do sistema de Gerenciamento de Identidade (IdM) que são cruciais para uma implantação de IdM com uma autoridade de certificados integrada após a interrupção do rastreamento de certificados. A interrupção pode ter sido causada pela desconexão do host do IdM durante a renovação dos certificados do sistema ou por uma topologia de replicação que não funciona corretamente. O procedimento também mostra como fazer certmonger retomar o rastreamento dos certificados do serviço IdM, ou seja, os certificados HTTP, LDAP e PKINIT.

Pré-requisitos

  • O host no qual você quer retomar os certificados do sistema de rastreamento é um servidor IdM que também é uma autoridade de certificados IdM (CA), mas não o mestre de renovação IdM CA.

Procedimento

  1. Obtenha o PIN para os certificados do subsistema CA:

    # grep 'internal=' /var/lib/pki/pki-tomcat/conf/password.conf
  2. Adicionar rastreamento aos certificados do subsistema CA, substituindo [internal PIN] nos comandos abaixo pelo PIN obtido na etapa anterior:

    # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "caSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "caSigningCert cert-pki-ca"'
    
    # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "auditSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "auditSigningCert cert-pki-ca"'
    
    # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "ocspSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "ocspSigningCert cert-pki-ca"'
    
    # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "subsystemCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "subsystemCert cert-pki-ca"'
    
    # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "Server-Cert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "Server-Cert cert-pki-ca"'
  3. Adicione rastreamento para os certificados IdM restantes, os certificados HTTP, LDAP, IPA renewal agent e PKINIT:

    # getcert start-tracking -f /var/lib/ipa/certs/httpd.crt -k /var/lib/ipa/private/httpd.key -p /var/lib/ipa/passwds/idm.example.com-443-RSA -c IPA -C /usr/libexec/ipa/certmonger/restart_httpd
    
    # getcert start-tracking -d /etc/dirsrv/slapd-IDM-EXAMPLE-COM -n "Server-Cert" -c IPA -p /etc/dirsrv/slapd-IDM-EXAMPLE-COM/pwdfile.txt -C '/usr/libexec/ipa/certmonger/restart_dirsrv "IDM-EXAMPLE-COM"'
    
    # getcert start-tracking -f /var/lib/ipa/ra-agent.pem -k /var/lib/ipa/ra-agent.key -c dogtag-ipa-ca-renew-agent -B /usr/libexec/ipa/certmonger/renew_ra_cert_pre -C /usr/libexec/ipa/certmonger/renew_ra_cert
    
    # getcert start-tracking -f /var/kerberos/krb5kdc/kdc.crt -k /var/kerberos/krb5kdc/kdc.key -c dogtag-ipa-ca-renew-agent -B /usr/libexec/ipa/certmonger/renew_ra_cert_pre -C /usr/libexec/ipa/certmonger/renew_kdc_cert
  4. Reinicie certmonger:

    # systemctl restart certmonger
  5. Aguarde um minuto após o início do certmonger e depois verifique os status dos novos certificados:

    # getcert list

Recursos adicionais

  • Se todos os certificados do sistema IdM expiraram, siga o procedimento descrito nesta solução Knowledge Centered Support (KCS) para renovar manualmente os certificados do sistema IdM no master do IdM CA que também é o master de renovação CA e o master de geração CRL. Então, siga o procedimento descrito nesta solução KCS para renovar manualmente os certificados do sistema IdM em todos os outros servidores CA na topologia.
Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.