19.2. 续订后验证 IdM 域中的其他 IdM 服务器

流程

1. 使用 --force 参数重启 IdM：

   # ipactl restart --force

   Copy to Clipboard Toggle word wrap

   使用 --force 参数时，ip actl 实用程序会忽略单个服务启动失败。例如，如果服务器也是证书过期的 CA，pki-tomcat 服务将无法启动。这是预期并忽略的，因为使用了 --force 参数。

2. 重启后，验证 certmonger 服务 是否已更新证书（certificate 状态显示 MONITORING）：

   # getcert list | egrep '^Request|status:|subject:'
   Request ID '20190522120745':
           status: MONITORING
           subject: CN=IPA RA,O=EXAMPLE.COM 201905222205
   Request ID '20190522120834':
           status: MONITORING
           subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205
   ...

   Copy to Clipboard Toggle word wrap

   在 certmonger 续订副本上的共享证书之前，可能需要一些时间，。

3. 如果服务器也是 CA，以上命令会报告 pki-tomcat 服务使用的证书的 CA_UNREACHABLE ：

   Request ID '20190522120835':
           status: CA_UNREACHABLE
           subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
   ...

   Copy to Clipboard Toggle word wrap

4. 要续订此证书，请使用 ipa-cert-fix 工具：

   # ipa-cert-fix
   Dogtag sslserver certificate:
     Subject: CN=ca2.example.com,O=EXAMPLE.COM
     Serial:  3
     Expires: 2019-05-11 12:07:11
   
   Enter "yes" to proceed: true
   Proceeding.
   Renewed Dogtag sslserver certificate:
     Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
     Serial:  15
     Expires: 2019-08-14 04:25:05
   
   The ipa-cert-fix command was successful

   Copy to Clipboard Toggle word wrap