Capítulo 46. Renovação de certificados de sistema expirados quando a IdM está offline
Quando um certificado de sistema expira, o Gerenciamento de Identidade (IdM) não inicia. O IdM suporta a renovação de certificados de sistema quando o IdM está offline, usando a ferramenta ipa-cert-fix
.
Pré-requisitos
- IdM é instalado somente no Red Hat Enterprise Linux 8.1 ou posterior
46.1. Renovação de certificados de sistema expirados em um CA Renewal Master
Esta seção descreve como aplicar a ferramenta ipa-cert-fix
em certificados IdM vencidos.
Se você executar a ferramenta ipa-cert-fix
em um host CA (Autoridade Certificadora) que não é o CA Renewal Master, e o utilitário renova certificados compartilhados, esse host se torna automaticamente o novo CA Renewal Master no domínio. Deve haver sempre apenas um CA Renewal Master no domínio para evitar inconsistências.
Pré-requisitos
- Entrar no servidor com direitos de administração
Procedimento
Iniciar a ferramenta
ipa-cert-fix
para analisar o sistema e listar os certificados vencidos que requerem renovação:# ipa-cert-fix ... The following certificates will be renewed: Dogtag sslserver certificate: Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205 Serial: 13 Expires: 2019-05-12 05:55:47 ... Enter "yes" to proceed:
Entre em
yes
para iniciar o processo de renovação:Enter "yes" to proceed: yes Proceeding. Renewed Dogtag sslserver certificate: Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205 Serial: 268369925 Expires: 2021-08-14 02:19:33 ... Becoming renewal master. The ipa-cert-fix command was successful
Pode levar até um minuto antes de
ipa-cert-fix
renovar todos os certificados vencidos.Opcionalmente, verifique se todos os serviços estão funcionando agora:
# ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING ipa: INFO: The ipactl command was successful
Neste momento, os certificados foram renovados e os serviços estão funcionando. O próximo passo é verificar outros servidores no domínio IdM.