主页
产品
Red Hat Enterprise Linux
10
管理 IdM 中的证书
17.2. 更改并重置 IdM CA 续订服务器

17.2. 更改并重置 IdM CA 续订服务器

当证书颁发机构(CA)续订服务器停用时，RHEL Identity Management (IdM)会自动从 IdM CA 服务器列表中选择一个新的 CA 续订服务器。系统管理员无法影响选择。

为了能够选择新的 IdM CA 续订服务器，系统管理员必须手动执行替换操作。在开始停用当前续订服务器的过程之前，选择新的 CA 续订服务器。

如果当前的 CA 续订服务器配置无效，请重置 IdM CA 续订服务器。

完成此步骤以更改或重置 CA 续订服务器。

先决条件

您有 IdM 管理员凭证：
```
kinit admin
```
```
~]$ kinit admin
Password for admin@IDM.EXAMPLE.COM:
```
Copy to Clipboard Toggle word wrap

流程

可选：要找出部署中哪些 IdM 服务器有资格成为新的 CA 续订服务器的必需的 CA 角色：

ipa server-role-find --role 'CA server'

~]$ ipa server-role-find --role 'CA server'
----------------------
2 server roles matched
----------------------
  Server name: server.idm.example.com
  Role name: CA server
  Role status: enabled

  Server name: replica.idm.example.com
  Role name: CA server
  Role status: enabled
----------------------------
Number of entries returned 2
----------------------------

Copy to Clipboard

Toggle word wrap

部署中有两个 CA 服务器。

可选：要找出哪个 CA 服务器是当前的 CA 续订服务器，请输入：
```
ipa config-show | grep 'CA renewal'
```
```
~]$ ipa config-show | grep 'CA renewal'
  IPA CA renewal master: server.idm.example.com
```
Copy to Clipboard Toggle word wrap
当前续订服务器为 server.idm.example.com。
要更改续订服务器配置，请使用 ipa config-mod 实用程序和 --ca-renewal-master-server 选项：
```
ipa config-mod --ca-renewal-master-server replica.idm.example.com | grep 'CA renewal'
```
```
~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com | grep 'CA renewal'
  IPA CA renewal master: replica.idm.example.com
```
Copy to Clipboard Toggle word wrap
重要
您还可以使用以下命令切换到新的 CA 续订服务器：
- ipa-cacert-manage --renew 命令。此命令会续订 CA 证书 ，并使 您在其上执行新 CA 续订服务器的 CA 服务器。
- ipa-cert-fix 命令。当证书过期时，该命令会恢复部署。它还使您在其上执行该命令的 CA 服务器成为新的 CA 续订服务器。

返回顶部

17.2. 更改并重置 IdM CA 续订服务器

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links