25.3. IdM 内部证书续订过程
默认情况下,certmonger 跟踪内部证书,触发续订并请求 IdM CA 发布新证书。
如果您使用外部 CA,且您的内部证书由这个 CA 发布,则它们不会自动续订。在这种情况下,您应该监控证书的到期日期,以确保在证书过期前续订它们。续订过程会非常耗时,如果您没有仔细跟踪到期日期,您的证书将过期,某些服务将不再可用。
警告
如果您内部的 Red Hat Identity Management (IdM)证书过期,IdM 将无法启动。
IdM CA 续订服务器在过期日期前 28 天续订共享的内部证书。certmonger 会触发此续订,并将新证书上传到 cn=<nickname>,cn=ca_renewal,cn=ipa,cn=etc,$BASEDN。certmonger 还触发其他 IdM 服务器上的续订进程,但它是在非 CA 续订服务器上执行的,它不会请求新证书,但会从从 LDAP 下载证书。请注意,Server-Cert cert-pki-ca、HTTP、LDAP 和 PKINIT 证书特定于每个副本,在主题中包含主机名。
注意
如果您在证书过期前使用 getcert 手动续订共享证书,则不会在其他副本上触发续订进程,您必须在其他副本上运行 getcert,来执行从 LDAP 下载更新的证书。
