Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 19 章 IdM 离线时续订过期的系统证书

如果系统证书已过期,RHEL Identity Management (IdM)无法启动。IdM 支持使用 ipa-cert-fix 工具更新系统证书。

  • 通过在主机上输入 ipactl start --ignore-service-failures 命令来确保 LDAP 服务正在运行。

19.1. 在 CA 续订服务器上续订过期的系统证书
复制链接

按照以下流程,对过期的 IdM 证书应用 ipa-cert-fix 工具。

重要

如果您在不是 CA 续订服务器的 CA(证书授权机构)主机上运行 ipa-cert-fix 工具,并且 实用程序续订共享证书,则该主机会自动成为域中的新 CA 续订服务器。域中必须始终只有一个 CA 续订服务器,以避免不一致。

先决条件

  • 您必须以管理员身份登录到服务器。

流程

  1. 可选:备份系统。这强烈推荐,因为 ipa-cert-fixnssdb 进行了不可逆更改。因为 ipa-cert-fix 也对 LDAP 进行了更改,因此也建议备份整个集群。

  2. 启动 ipa-cert-fix 工具,以分析系统并列出需要续订的过期证书: 

    # ipa-cert-fix
...
The following certificates will be renewed:

Dogtag sslserver certificate:
  Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
  Serial:  13
  Expires: 2019-05-12 05:55:47
...
Enter "yes" to proceed:
    Copy to Clipboard Toggle word wrap

  3. 输入 yes 以开始续订过程: 

    Enter "yes" to proceed: true
Proceeding.
Renewed Dogtag sslserver certificate:
  Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
  Serial:  268369925
  Expires: 2021-08-14 02:19:33
...

Becoming renewal master.
The ipa-cert-fix command was successful
    Copy to Clipboard Toggle word wrap

    ipa-cert-fix 更新所有过期证书前最多可能需要一分钟的时间。

验证

  • 验证所有服务现在是否都在运行: 

    # ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa: INFO: The ipactl command was successful
    Copy to Clipboard Toggle word wrap

此时,证书已被续订,服务正在运行。下一步是检查 IdM 域中的其他服务器。

  1. 确保 LDAP 复制在拓扑中正常工作后,根据上述流程,首先在一台 CA 服务器上运行 ipa-cert-fix
  2. 在另一台 CA 服务器上运行 ipa-cert-fix 之前,请通过 getcert-resubmit (在另一台 CA 服务器上)触发共享证书的 Certmonger 续订,以避免不必要的共享证书的续订。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat