Capítulo 47. Geração de CRL no servidor da IdM CA
Se sua implantação de IdM usa uma autoridade de certificado (CA) incorporada, você pode precisar mover a geração da Lista de Revogação de Certificado (CRL) de um servidor de Gerenciamento de Identidade (IdM) para outro. Pode ser necessário, por exemplo, quando você quiser migrar o servidor para outro sistema.
Apenas um servidor deve gerar CRL. A função de geração de CRL é normalmente co-localizada com o mestre de renovação da IdM CA, mas isto não é obrigatório. Antes que o CRL Generation Master seja desativado, um novo CRL Generation Master deve ser selecionado pelo administrador e configurado.
Este capítulo descreve:
- Parando a geração de CRL no mestre da IdM.
- Começando a gerar CRL na réplica da IdM.
47.1. Parando a geração de CRL em um servidor IdM
Para parar de gerar a Lista de Revogação de Certificado (CRL) no servidor do editor da IdM CRL, use o comando ipa-crlgen-manage
. Antes de desativar a geração, verifique se o servidor realmente gera a CRL. Você pode então desabilitá-la.
Pré-requisitos
- O servidor de Gerenciamento de Identidade (IdM) é instalado no sistema RHEL 8.1 ou mais recente.
- Você deve estar logado como raiz.
Procedimento
Verifique se seu servidor está gerando a CRL:
[root@server ~]# ipa-crlgen-manage status CRL generation: enabled Last CRL update: 2019-10-31 12:00:00 Last CRL Number: 6 The ipa-crlgen-manage command was successful
Pare de gerar a CRL no servidor:
[root@server ~]# ipa-crlgen-manage disable Stopping pki-tomcatd Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg Starting pki-tomcatd Editing /etc/httpd/conf.d/ipa-pki-proxy.conf Restarting httpd CRL generation disabled on the local host. Please make sure to configure CRL generation on another master with ipa-crlgen-manage enable. The ipa-crlgen-manage command was successful
Verifique se o servidor parou de gerar CRL:
[root@server ~]# ipa-crlgen-manage status
O servidor parou de gerar a CRL. O próximo passo é permitir a geração da CRL no novo servidor RHEL 8.