13.2. 续订后验证 IdM 域中的其他 IdM 服务器
在使用 ipa-cert-fix 工具续订 CA 续订服务器证书后,您必须:
- 重新启动 域中的所有其他身份管理(IdM)服务器。
- 检查 certmonger 是否更新的证书。
-
如果有其他带有过期系统证书的证书颁发机构(CA)副本,还可以使用
ipa-cert-fix工具续订这些证书。
先决条件
- 使用管理权限登录服务器。
流程
使用
--force参数重启 IdM:# ipactl restart --force
使用
--force参数时,ipactl实用程序会忽略单个服务启动失败。例如,如果服务器也是证书过期的 CA,pki-tomcat服务将无法启动。这是预期并忽略的,因为使用了--force参数。重启后,验证
certmonger 服务是否已更新证书(certificate 状态显示 MONITORING):# getcert list | egrep '^Request|status:|subject:' Request ID '20190522120745': status: MONITORING subject: CN=IPA RA,O=EXAMPLE.COM 201905222205 Request ID '20190522120834': status: MONITORING subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205 ...在
certmonger续订副本上的共享证书之前,可能需要一些时间,。如果服务器也是 CA,以上命令会报告
pki-tomcat服务使用的证书的CA_UNREACHABLE:Request ID '20190522120835': status: CA_UNREACHABLE subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205 ...要续订此证书,请使用
ipa-cert-fix工具:# ipa-cert-fix Dogtag sslserver certificate: Subject: CN=ca2.example.com,O=EXAMPLE.COM Serial: 3 Expires: 2019-05-11 12:07:11 Enter "yes" to proceed: true Proceeding. Renewed Dogtag sslserver certificate: Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205 Serial: 15 Expires: 2019-08-14 04:25:05 The ipa-cert-fix command was successful
现在,所有 IdM 证书已被更新并可以正常工作。
