17.2. 更改并重置 IdM CA 续订服务器
当证书颁发机构(CA)续订服务器停用时,RHEL Identity Management (IdM)会自动从 IdM CA 服务器列表中选择一个新的 CA 续订服务器。系统管理员无法影响选择。
为了能够选择新的 IdM CA 续订服务器,系统管理员必须手动执行替换操作。在开始停用当前续订服务器的过程之前,选择新的 CA 续订服务器。
如果当前的 CA 续订服务器配置无效,请重置 IdM CA 续订服务器。
完成此步骤以更改或重置 CA 续订服务器。
先决条件
您有 IdM 管理员凭证:
kinit admin
~]$ kinit admin Password for admin@IDM.EXAMPLE.COM:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
流程
可选:要找出部署中哪些 IdM 服务器有资格成为新的 CA 续订服务器的必需的 CA 角色:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 部署中有两个 CA 服务器。
可选: 要找出哪个 CA 服务器是当前的 CA 续订服务器,请输入:
ipa config-show | grep 'CA renewal'
~]$ ipa config-show | grep 'CA renewal' IPA CA renewal master: server.idm.example.com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 当前续订服务器为
server.idm.example.com
。要更改续订服务器配置,请使用
ipa config-mod
实用程序和--ca-renewal-master-server
选项:ipa config-mod --ca-renewal-master-server replica.idm.example.com | grep 'CA renewal'
~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com | grep 'CA renewal' IPA CA renewal master: replica.idm.example.com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重要您还可以使用以下命令切换到新的 CA 续订服务器:
-
ipa-cacert-manage --renew
命令。此命令会续订 CA 证书 ,并使 您在其上执行新 CA 续订服务器的 CA 服务器。 -
ipa-cert-fix
命令。当证书过期时,该命令会恢复部署。它还使您在其上执行该命令的 CA 服务器成为新的 CA 续订服务器。
-