Pesquisar

46.2. Verificação de outros servidores IdM no domínio IdM após a renovação

download PDF

Após a renovação dos certificados do CA Renewal Master com a ferramenta ipa-cert-fix, você deve:

  • Reinicie todos os outros servidores de Gerenciamento de Identidade (IdM) no domínio.
  • Verificar se os certificados certmonger foram renovados.
  • Se houver outras réplicas da Autoridade Certificadora (CA) com certificados de sistema vencidos, renovar esses certificados também com a ferramenta ipa-cert-fix.

Pré-requisitos

  • Faça o login no servidor com direitos de administração.

Procedimento

  1. Reinicie o IdM com o parâmetro --force:

    # reinício do ipactl --force

    Com o parâmetro --force, o utilitário ipactl ignora falhas individuais na inicialização do serviço. Por exemplo, se o servidor também for uma CA com certificados vencidos, o serviço pki-tomcat não inicia. Isto é esperado e ignorado devido ao uso do parâmetro --force.

  2. Após o reinício, verifique se o serviço certmonger renovou os certificados (o status do certificado diz MONITORING):

    # getcert list | egrep '^Request|status:|subject:'
    Request ID '20190522120745':
            status: MONITORING
            subject: CN=IPA RA,O=EXAMPLE.COM 201905222205
    Request ID '20190522120834':
            status: MONITORING
            subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205
    ...

    Pode levar algum tempo até que certmonger renove os certificados compartilhados na réplica.

  3. Se o servidor também for uma CA, o comando anterior informa CA_UNREACHABLE para o certificado que o serviço pki-tomcat utiliza:

    Request ID '20190522120835':
            status: CA_UNREACHABLE
            subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
    ...
  4. Para renovar este certificado, use o utilitário ipa-cert-fix:

    # ipa-cert-fix
    Dogtag sslserver certificate:
      Subject: CN=ca2.example.com,O=EXAMPLE.COM
      Serial:  3
      Expires: 2019-05-11 12:07:11
    
    Enter "yes" to proceed: yes
    Proceeding.
    Renewed Dogtag sslserver certificate:
      Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
      Serial:  15
      Expires: 2019-08-14 04:25:05
    
    The ipa-cert-fix command was successful

Agora, todos os certificados da IdM foram renovados e funcionam corretamente.

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.