D.4. 将副本提升到主 CA 服务器
如果您的 IdM 部署使用嵌入的证书颁发机构(CA),其中一个 IdM CA 服务器充当 master CA:它管理 CA 子系统证书的续订并生成证书撤销列表(CRL)。默认情况下,master CA 是系统管理员使用 ipa-server-install 或 ipa-ca-install 命令在其上安装 CA 角色的第一个服务器。
如果您计划使 master CA 服务器离线或取消启用它,请 提升 副本以将其位置作为主 CA:
- 确保副本配置为处理 CA 子系统证书续订。请参阅 第 D.4.1 节 “更改 Which 服务器处理证书续订”。
- 配置副本以生成 CRL。请参阅 第 6.5.2.2 节 “更改 Which Server Generates CRL”。
D.4.1. 更改 Which 服务器处理证书续订
要更改哪些服务器处理证书续订,请在 IdM 服务器中按照以下流程:
- 确定哪个服务器是当前的续订 master:
- 在 Red Hat Enterprise Linux 7.3 及更新的版本中:
$ ipa config-show | grep "CA renewal master" IPA CA renewal master: server.example.com
- 在 Red Hat Enterprise Linux 7.2 及更早版本中:
$ ldapsearch -H ldap://$HOSTNAME -D 'cn=Directory Manager' -W -b 'cn=masters,cn=ipa,cn=etc,dc=example,dc=com' '(&(cn=CA)(ipaConfigString=caRenewalMaster))' dn ... # CA, server.example.com, masters, ipa, etc, example.com dn: cn=CA,cn=server.example.com,cn=masters,cn=ipa,cn=etc,dc=example,dc=com ...
在这两个示例中,server.example.com
是当前的续订 master。 - 设置其他服务器来处理证书续订:
- 在 Red Hat Enterprise Linux 7.4 及更新的版本中:
# ipa config-mod --ca-renewal-master-server new_server.example.com
- 在 Red Hat Enterprise Linux 7.3 及更早版本中:
# ipa-csreplica-manage set-renewal-master
注意此命令设置运行 命令的服务器,作为新的续订 master。
这些命令还会自动重新配置以前的 CA 从续订 master 克隆。