22.3. 从过期的 IdM CA 证书中恢复

流程

1. 在续订服务器上，将 CA 证书续订为自签名证书。这个命令使用现有的私钥生成一个带有续订有效期限的新 CA 证书：

   # ipa-cacert-manage renew --self-signed

   Copy to Clipboard Toggle word wrap

   如果您的证书接近其到期日期，且续订它并没有将到期日期推后，请参阅 当 IPA 的 CA 证书接近到期日期时，续订不会将到期日期推后 解决方案。

2. 在续订服务器上修复过期的服务证书。

   1. 停止 IdM 服务：

      # ipactl stop

      Copy to Clipboard Toggle word wrap

   2. 运行 ipa-cert-fix 命令以重置 IdM 数据库中过期的服务证书的过期日期：

      # ipa-cert-fix

      Copy to Clipboard Toggle word wrap

   3. 发布新证书并将其应用到 IdM 服务：

      # ipa-certupdate

      Copy to Clipboard Toggle word wrap

   4. 重启 IdM 服务以完成续订：

      # ipactl start

      Copy to Clipboard Toggle word wrap

3. 如果您的最初设置使用外部签名的 CA，则您必须获得外部颁发机构重新签名的新 CA 证书。如果您使用自签名 CA，请跳过这一步。

   1. 为新续订的 CA 生成一个证书签名请求(CSR)：

      # ipa-cacert-manage renew --external-ca

      Copy to Clipboard Toggle word wrap

      这会在 /var/lib/ipa/ca.csr 中创建一个 CSR 文件。

   2. 将 CSR 文件提交到您的外部 CA，并接收新签名的证书和外部 CA 的信任链。

   3. 将新签名的证书安装回 IdM ：

      # ipa-cacert-manage renew --external-cert-file /path/to/new-ca.pem --external-cert-file /path/to/external-chain.pem

      Copy to Clipboard Toggle word wrap

4. 将新 CA 证书传播到所有 IdM 服务器和客户端。首先在续订服务器上运行 ipa-certupdate，然后在所有其他副本上运行，最后在所有客户端上运行：

   # ipa-certupdate

   Copy to Clipboard Toggle word wrap

   此步骤对于确保拓扑中的所有系统都信任新的 CA 证书至关重要。