Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

71.2. 更改和重置 IdM CA 续订服务器

当证书颁发机构(CA)续订服务器停用时,身份管理(IdM)会自动从 IdM CA 服务器列表中选择一个新的 CA 续订服务器。系统管理员无法影响选择。

为了能够选择新的 IdM CA 续订服务器,系统管理员必须手动执行替换操作。在开始停用当前续订服务器的过程之前,选择新的 CA 续订服务器。

如果当前的 CA 续订服务器配置无效,请重置 IdM CA 续订服务器。

完成此步骤以更改或重置 CA 续订服务器。

先决条件

  • 您有 IdM 管理员凭证: 

    ~]$ kinit admin
Password for admin@IDM.EXAMPLE.COM:
    Copy to Clipboard Toggle word wrap

流程

  1. 可选:要找出部署中哪些 IdM 服务器有资格成为新的 CA 续订服务器的必需的 CA 角色: 

    ~]$ ipa server-role-find --role 'CA server'
----------------------
2 server roles matched
----------------------
  Server name: server.idm.example.com
  Role name: CA server
  Role status: enabled

  Server name: replica.idm.example.com
  Role name: CA server
  Role status: enabled
----------------------------
Number of entries returned 2
----------------------------
    Copy to Clipboard Toggle word wrap

    部署中有两个 CA 服务器。

  2. 可选: 要找出哪个 CA 服务器是当前的 CA 续订服务器,请输入: 

    ~]$ ipa config-show | grep 'CA renewal'
  IPA CA renewal master: server.idm.example.com
    Copy to Clipboard Toggle word wrap

    当前续订服务器为 server.idm.example.com

  3. 要更改续订服务器配置,请使用 ipa config-mod 实用程序和 --ca-renewal-master-server 选项: 

    ~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com | grep 'CA renewal'
  IPA CA renewal master: replica.idm.example.com
    Copy to Clipboard Toggle word wrap
    重要

    您还可以使用以下命令切换到新的 CA 续订服务器:

    • ipa-cacert-manage --renew 命令。此命令会续订 CA 证书 ,并使 您在其上执行新 CA 续订服务器的 CA 服务器。

    • ipa-cert-fix 命令。当证书过期时,该命令会恢复部署。它还使您在其上执行该命令的 CA 服务器成为新的 CA 续订服务器。

      详情请查看 IdM 离线时重新更新过期的系统证书

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat