45.2. Mudando e reiniciando o mestre de renovação do IdM CA
Quando uma autoridade de renovação de certificados (CA) está sendo desativada, a Administração de Identidade (IdM) seleciona automaticamente uma nova autoridade de renovação de CA a partir da lista de servidores da IdM CA. O administrador do sistema não pode influenciar a seleção.
Para poder selecionar o novo servidor mestre de renovação da IdM CA, o administrador do sistema deve realizar a substituição manualmente. Selecionar o master antes de iniciar o processo de desativação do master de renovação atual.
Se a configuração atual do mestre de renovação CA for inválida, reinicie o mestre de renovação do IdM CA.
Complete este procedimento para alterar ou reiniciar o mestre de renovação do CA.
Pré-requisitos
- Você tem as credenciais do administrador da IdM.
Procedimento
Obter as credenciais do administrador da IdM:
~]$ kinit admin Password for admin@IDM.EXAMPLE.COM:
Opcionalmente, para descobrir quais servidores IdM na implantação têm o papel de CA necessário para serem elegíveis para se tornar o novo mestre da renovação de CA:
~]$ ipa server-role-find --role 'CA server' ---------------------- 2 server roles matched ---------------------- Server name: server.idm.example.com Role name: CA server Role status: enabled Server name: replica.idm.example.com Role name: CA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
Há dois servidores CA na implantação.
Opcionalmente, para descobrir qual servidor CA é o atual mestre da renovação CA, entre:
~]$ ipa config-show | grep 'CA renewal master' IPA CA renewal master: server.idm.example.com
O atual mestre de renovação é
server.idm.example.com
.Para alterar a configuração mestre de renovação, use o utilitário
ipa config-mod
com a opção--ca-renewal-master-server
:~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com | grep 'CA renewal master' IPA CA renewal master: replica.idm.example.com
ImportanteVocê também pode mudar para um novo mestre de renovação de CA usando:
-
o comando
ipa-cacert-manage --renew
. Este comando tanto renova o certificado da CA and faz do servidor da CA no qual se executa o comando o novo mestre de renovação da CA. o comando
ipa-cert-fix
. Este comando recupera o desdobramento quando certificados vencidos estão causando falhas. Ele também torna o servidor CA no qual se executa o comando o novo mestre de renovação CA.Para detalhes, veja Renovação de certificados de sistema expirados quando a IdM está offline.
-
o comando