45.3. Mudando de uma CA externa para uma CA autoassinada em IdM
Complete este procedimento para mudar de um certificado assinado externamente para um certificado autoassinado da autoridade certificadora (CA) da Identity Management (IdM). Com uma CA autoassinada, a renovação do certificado da CA é gerenciada automaticamente: um administrador de sistema não precisa submeter um pedido de assinatura de certificado (CSR) a uma autoridade externa.
A mudança de uma CA assinada externamente para uma CA autoassinada substitui apenas o certificado da CA. Os certificados assinados pela AC anterior ainda são válidos e ainda estão em uso. Por exemplo, a cadeia de certificados para o certificado LDAP
permanece inalterada mesmo após a mudança para uma CA autoassinada:
external_CA
certificado >IdM CA
certificado >LDAP
certificado
Pré-requisitos
- Você tem acesso root ao mestre de renovação da IdM CA.
- Você tem as credenciais do administrador da IdM.
Procedimento
No mestre de renovação da IdM CA, renovar o certificado da CA como autoassinado:
~]# ipa-cacert-manage renew --self-signed Renewing CA certificate, please wait CA certificate successfully renewed The ipa-cacert-manage command was successful
Em todos os servidores e clientes da IdM, atualizar os bancos de dados locais de certificados da IdM com os certificados do servidor:
[client ~]$ kinit admin [client ~]$ ipa-certupdate Systemwide CA database updated. Systemwide CA database updated. The ipa-certupdate command was successful
Opcionalmente, para verificar se sua atualização foi bem sucedida e o novo certificado da CA foi adicionado ao arquivo
/etc/ipa/ca.crt
:[client ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout [...] Certificate: Data: Version: 3 (0x2) Serial Number: 39 (0x27) Signature Algorithm: sha256WithRSAEncryption Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority Validity Not Before: Jul 1 16:32:45 2019 GMT Not After : Jul 1 16:32:45 2039 GMT Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority [...]
A saída mostra que a atualização foi bem sucedida, uma vez que o novo certificado da CA é listado com os certificados mais antigos da CA.