14.2. 在续订后验证 IdM 域中的其他 IdM 服务器
使用 ipa-cert-fix
工具续订 CA 续订服务器的证书后,您必须:
- 重启域中的所有其它身份管理(IdM)服务器。
- 检查 certmonger 更新证书。
-
如果存在带有过期系统证书的其他证书颁发机构(CA)副本,请使用
ipa-cert-fix
工具更新这些证书。
先决条件
- 您必须以管理员身份登录到服务器。
步骤
使用
--force
参数重启 IdM:ipactl restart --force
# ipactl restart --force
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用
--force
参数时,ipactl
程序会忽略单个服务启动失败。例如,如果服务器也是过期证书的 CA,pki-tomcat
服务无法启动。这是预期的行为,并会被忽略,因为使用了--force
参数。重启后,验证
certmonger
服务是否已更新证书(证书状态为 MONITORING):Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在
certmonger
更新副本上的共享证书前可能需要一些时间。如果服务器也是 CA,则上一个命令会为
pki-tomcat
服务使用的证书报告CA_UNREACHABLE
:Request ID '20190522120835': status: CA_UNREACHABLE subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205 ...
Request ID '20190522120835': status: CA_UNREACHABLE subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205 ...
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 要更新这个证书,请使用
ipa-cert-fix
程序:Copy to Clipboard Copied! Toggle word wrap Toggle overflow