6.5. 管理服务器角色

6.5.1. 查看服务器角色
复制链接

Web UI：查看服务器角色

有关支持的服务器角色的完整列表，请参阅 IPA 服务器

拓扑

服务器角色。

缺少角色状态意味着拓扑中没有服务器执行该角色。
启用角色状态意味着拓扑中的一个或多个服务器正在执行该角色。

图 6.14. Web UI 中的服务器角色

命令行：查看服务器角色

ipa config-show 命令显示所有 CA 服务器、NTP 服务器和当前的 CA 续订 master：

ipa config-show

$ ipa config-show
  ...
  IPA masters: server1.example.com, server2.example.com, server3.example.com
  IPA CA servers: server1.example.com, server2.example.com
  IPA NTP servers: server1.example.com, server2.example.com, server3.example.com
  IPA CA renewal master: server1.example.com

Copy to Clipboard

Toggle word wrap

ipa server-show 命令显示在特定服务器上启用的角色列表。例如，对于 server.example.com 上启用的角色列表：

ipa server-show

$ ipa server-show
Server name: server.example.com
  ...
  Enabled server roles: CA server, DNS server, NTP server, KRA server

Copy to Clipboard

Toggle word wrap

ipa server-find --servrole 搜索启用了特定服务器角色的所有服务器。例如，要搜索所有 CA 服务器：

ipa server-find --servrole "CA server"

$ ipa server-find --servrole "CA server"
---------------------
2 IPA servers matched
---------------------
  Server name: server1.example.com
  ...

  Server name: server2.example.com
  ...
----------------------------
Number of entries returned 2
----------------------------

Copy to Clipboard

Toggle word wrap

6.5.2. 将副本提升到主 CA 服务器
复制链接

注意

本节论述了在域级别 1 中更改 CA 续订 master（请参阅第 7 章 显示和提升域级别）。有关在域级别 0 更改 CA 续订 master 的文档，请参考第 D.4 节 “将副本提升到主 CA 服务器”。

如果您的 IdM 部署使用嵌入的证书颁发机构(CA)，其中一个 IdM CA 服务器充当 master CA：它管理 CA 子系统证书的续订并生成证书撤销列表(CRL)。默认情况下，master CA 是系统管理员使用 ipa-server-install 或 ipa-ca-install 命令在其上安装 CA 角色的第一个服务器。

如果您计划使 master CA 服务器离线或停用它，请提升另一个 CA 服务器作为新的 CA 续订 master：

配置副本以处理 CA 子系统证书续订。
- 有关域级别 1 的信息，请参阅第 6.5.2.1 节 “更改当前 CA 续订 master”。
- 有关域级别 0，请参阅第 D.4.1 节 “更改 Which 服务器处理证书续订”。
配置副本以生成 CRL。请参阅第 6.5.2.2 节 “更改 Which Server Generates CRL”。
在停用之前的 master CA 服务器前，请确保新的 master 正常工作。请参阅第 6.5.2.3 节 “验证新 master CA 服务器是否配置正确”。

6.5.2.1. 更改当前 CA 续订 master
复制链接

Web UI：更改当前 CA 续订 master

选择 IPA Server Configuration。
在 IPA CA renewal master 字段中，选择新的 CA renewal master。

命令行：更改当前 CA 续订 master

使用 ipa config-mod --ca-renewal-master-server 命令：

ipa config-mod --ca-renewal-master-server new_ca_renewal_master.example.com

$ ipa config-mod --ca-renewal-master-server new_ca_renewal_master.example.com
  ...
  IPA masters: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA CA servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA NTP servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA CA renewal master: new_ca_renewal_master.example.com

Copy to Clipboard

Toggle word wrap

输出确认更新成功。

6.5.2.2. 更改 Which Server Generates CRL
复制链接

要更改哪个服务器生成证书撤销列表(CRL)：

如果您不知道当前的 CRL 生成 master，在每个 IdM 证书颁发机构(CA)上使用 ipa-crlgen-manage status 命令来确定是否启用了 CRL 生成：
```
ipa-crlgen-manage status
```
```
# ipa-crlgen-manage status
CRL generation: enabled
```
Copy to Clipboard Toggle word wrap
在当前的 CRL 生成 master 上，禁用此功能：
```
ipa-crlgen-manage disable
```
```
# ipa-crlgen-manage disable
```
Copy to Clipboard Toggle word wrap
在您要配置为新 CRL 生成 master 的其他 CA 主机上，启用此功能：
```
ipa-crlgen-manage enable
```
```
# ipa-crlgen-manage enable
```
Copy to Clipboard Toggle word wrap

6.5.2.3. 验证新 master CA 服务器是否配置正确
复制链接

确保新的 master CA 服务器上存在 /var/lib/ipa/pki-ca/publish/MasterCRL.bin 文件。

该文件会根据使用 ca.crl.MasterCRL.autoUpdateInterval 参数在 /etc/pki/pki-tomcat/ca/CS.cfg 文件中定义的时间间隔生成。默认值为 240 分钟（4 小时）。

注意

如果您更新 ca.crl.MasterCRL.autoUpdateInterval 参数，则更改将在下一次调度的 CRL 更新后生效。

如果文件存在，则新的 master CA 服务器会被正确配置，您可以安全地忽略之前的 CA master 系统。

6.5.3. Hidden Replicas 的降级和升级
复制链接

安装副本后，您可以更改副本是隐藏还是可见：

要将可见的副本降级到隐藏的副本：
1. 如果副本是 CA 续订 master，请将该服务移到另一个副本。详情请查看第 6.5.2.1 节 “更改当前 CA 续订 master”。
2. 将副本的状态更改为隐藏：
  # ipa server-state replica.idm.example.com --state=hidden
  Copy to Clipboard Toggle word wrap
要将隐藏的副本提升到可见的副本，请输入：
```
ipa server-state replica.idm.example.com --state=enabled
```
```
# ipa server-state replica.idm.example.com --state=enabled
```
Copy to Clipboard Toggle word wrap

注意

隐藏的副本功能在 Red Hat Enterprise Linux 7.7 及更新的版本中作为技术预览提供，因此不受支持。

6.5.1. 查看服务器角色
复制链接

Web UI：查看服务器角色

命令行：查看服务器角色

6.5.2. 将副本提升到主 CA 服务器
复制链接

6.5.2.1. 更改当前 CA 续订 master
复制链接

Web UI：更改当前 CA 续订 master

命令行：更改当前 CA 续订 master

6.5.2.2. 更改 Which Server Generates CRL
复制链接

6.5.2.3. 验证新 master CA 服务器是否配置正确
复制链接

6.5.3. Hidden Replicas 的降级和升级
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.5. 管理服务器角色

6.5.1. 查看服务器角色复制链接链接已复制到粘贴板!

Web UI：查看服务器角色

命令行：查看服务器角色

6.5.2. 将副本提升到主 CA 服务器复制链接链接已复制到粘贴板!

6.5.2.1. 更改当前 CA 续订 master复制链接链接已复制到粘贴板!

Web UI：更改当前 CA 续订 master

命令行：更改当前 CA 续订 master

6.5.2.2. 更改 Which Server Generates CRL复制链接链接已复制到粘贴板!

6.5.2.3. 验证新 master CA 服务器是否配置正确复制链接链接已复制到粘贴板!

6.5.3. Hidden Replicas 的降级和升级复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.5.1. 查看服务器角色
复制链接

6.5.2. 将副本提升到主 CA 服务器
复制链接

6.5.2.1. 更改当前 CA 续订 master
复制链接

6.5.2.2. 更改 Which Server Generates CRL
复制链接

6.5.2.3. 验证新 master CA 服务器是否配置正确
复制链接

6.5.3. Hidden Replicas 的降级和升级
复制链接