48.7. Fazendo o certmonger retomar o rastreamento de certificados IdM em uma réplica do CA
Este procedimento mostra como fazer certmonger
retomar o rastreamento de certificados do sistema de Gerenciamento de Identidade (IdM) que são cruciais para uma implantação de IdM com uma autoridade de certificados integrada após a interrupção do rastreamento de certificados. A interrupção pode ter sido causada pela desconexão do host do IdM durante a renovação dos certificados do sistema ou por uma topologia de replicação que não funciona corretamente. O procedimento também mostra como fazer certmonger
retomar o rastreamento dos certificados do serviço IdM, ou seja, os certificados HTTP
, LDAP
e PKINIT
.
Pré-requisitos
- O host no qual você quer retomar os certificados do sistema de rastreamento é um servidor IdM que também é uma autoridade de certificados IdM (CA), mas não o mestre de renovação IdM CA.
Procedimento
Obtenha o PIN para os certificados do subsistema CA:
# grep 'internal=' /var/lib/pki/pki-tomcat/conf/password.conf
Adicionar rastreamento aos certificados do subsistema CA, substituindo
[internal PIN]
nos comandos abaixo pelo PIN obtido na etapa anterior:# getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "caSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "caSigningCert cert-pki-ca"' # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "auditSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "auditSigningCert cert-pki-ca"' # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "ocspSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "ocspSigningCert cert-pki-ca"' # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "subsystemCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "subsystemCert cert-pki-ca"' # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "Server-Cert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "Server-Cert cert-pki-ca"'
Adicione rastreamento para os certificados IdM restantes, os certificados
HTTP
,LDAP
,IPA renewal agent
ePKINIT
:# getcert start-tracking -f /var/lib/ipa/certs/httpd.crt -k /var/lib/ipa/private/httpd.key -p /var/lib/ipa/passwds/idm.example.com-443-RSA -c IPA -C /usr/libexec/ipa/certmonger/restart_httpd # getcert start-tracking -d /etc/dirsrv/slapd-IDM-EXAMPLE-COM -n "Server-Cert" -c IPA -p /etc/dirsrv/slapd-IDM-EXAMPLE-COM/pwdfile.txt -C '/usr/libexec/ipa/certmonger/restart_dirsrv "IDM-EXAMPLE-COM"' # getcert start-tracking -f /var/lib/ipa/ra-agent.pem -k /var/lib/ipa/ra-agent.key -c dogtag-ipa-ca-renew-agent -B /usr/libexec/ipa/certmonger/renew_ra_cert_pre -C /usr/libexec/ipa/certmonger/renew_ra_cert # getcert start-tracking -f /var/kerberos/krb5kdc/kdc.crt -k /var/kerberos/krb5kdc/kdc.key -c dogtag-ipa-ca-renew-agent -B /usr/libexec/ipa/certmonger/renew_ra_cert_pre -C /usr/libexec/ipa/certmonger/renew_kdc_cert
Reinicie
certmonger
:# systemctl restart certmonger
Aguarde um minuto após o início do
certmonger
e depois verifique os status dos novos certificados:# getcert list
Recursos adicionais
- Se todos os certificados do sistema IdM expiraram, siga o procedimento descrito nesta solução Knowledge Centered Support (KCS) para renovar manualmente os certificados do sistema IdM no master do IdM CA que também é o master de renovação CA e o master de geração CRL. Então, siga o procedimento descrito nesta solução KCS para renovar manualmente os certificados do sistema IdM em todos os outros servidores CA na topologia.