Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

14.2. 在续订后验证 IdM 域中的其他 IdM 服务器

使用 ipa-cert-fix 工具续订 CA 续订服务器的证书后,您必须:

  • 重启域中的所有其它身份管理(IdM)服务器。
  • 检查 certmonger 更新证书。
  • 如果存在带有过期系统证书的其他证书颁发机构(CA)副本,请使用 ipa-cert-fix 工具更新这些证书。

先决条件

  • 您必须以管理员身份登录到服务器。

步骤

  1. 使用 --force 参数重启 IdM: 

    # ipactl restart --force
    Copy to Clipboard Toggle word wrap

    使用 --force 参数时,ipactl 程序会忽略单个服务启动失败。例如,如果服务器也是过期证书的 CA,pki-tomcat 服务无法启动。这是预期的行为,并会被忽略,因为使用了 --force 参数。

  2. 重启后,验证 certmonger 服务是否已更新证书(证书状态为 MONITORING): 

    # getcert list | egrep '^Request|status:|subject:'
Request ID '20190522120745':
        status: MONITORING
        subject: CN=IPA RA,O=EXAMPLE.COM 201905222205
Request ID '20190522120834':
        status: MONITORING
        subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205
...
    Copy to Clipboard Toggle word wrap

    certmonger 更新副本上的共享证书前可能需要一些时间。

  3. 如果服务器也是 CA,则上一个命令会为 pki-tomcat 服务使用的证书报告 CA_UNREACHABLE

    Request ID '20190522120835':
        status: CA_UNREACHABLE
        subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
...
    Copy to Clipboard Toggle word wrap

  4. 要更新这个证书,请使用 ipa-cert-fix 程序: 

    # ipa-cert-fix
Dogtag sslserver certificate:
  Subject: CN=ca2.example.com,O=EXAMPLE.COM
  Serial:  3
  Expires: 2019-05-11 12:07:11

Enter "yes" to proceed: true
Proceeding.
Renewed Dogtag sslserver certificate:
  Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
  Serial:  15
  Expires: 2019-08-14 04:25:05

The ipa-cert-fix command was successful
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat