D.4. 将副本提升到主 CA 服务器


如果您的 IdM 部署使用嵌入的证书颁发机构(CA),其中一个 IdM CA 服务器充当 master CA:它管理 CA 子系统证书的续订并生成证书撤销列表(CRL)。默认情况下,master CA 是系统管理员使用 ipa-server-installipa-ca-install 命令在其上安装 CA 角色的第一个服务器。
如果您计划使 master CA 服务器离线或取消启用它,请 提升 副本以将其位置作为主 CA:

D.4.1. 更改 Which 服务器处理证书续订

要更改哪些服务器处理证书续订,请在 IdM 服务器中按照以下流程:
  1. 确定哪个服务器是当前的续订 master:
    • 在 Red Hat Enterprise Linux 7.3 及更新的版本中:
      $ ipa config-show | grep "CA renewal master"
      IPA CA renewal master: server.example.com
    • 在 Red Hat Enterprise Linux 7.2 及更早版本中:
      $ ldapsearch -H ldap://$HOSTNAME -D 'cn=Directory Manager' -W -b 'cn=masters,cn=ipa,cn=etc,dc=example,dc=com' '(&(cn=CA)(ipaConfigString=caRenewalMaster))' dn
      ...
      # CA, server.example.com, masters, ipa, etc, example.com
      dn: cn=CA,cn=server.example.com,cn=masters,cn=ipa,cn=etc,dc=example,dc=com
      ...
    在这两个示例中,server.example.com 是当前的续订 master。
  2. 设置其他服务器来处理证书续订:
    • 在 Red Hat Enterprise Linux 7.4 及更新的版本中:
      # ipa config-mod --ca-renewal-master-server new_server.example.com
    • 在 Red Hat Enterprise Linux 7.3 及更早版本中:
      # ipa-csreplica-manage set-renewal-master
      注意
      此命令设置运行 命令的服务器,作为新的续订 master。
    这些命令还会自动重新配置以前的 CA 从续订 master 克隆。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.