12.2. 更改和重置 IdM CA 续订服务器
当证书颁发机构(CA)续订服务器被删除时,身份管理(IdM)会自动从 IdM CA 服务器列表中选择新的 CA 续订服务器。系统管理员无法影响选择。
要可以选择新的 IdM CA 续订服务器,系统管理员必须手动执行替换。在开始停用当前续订服务器前,选择新的 CA 续订服务器。
如果当前的 CA 续订服务器配置无效,请重置 IdM CA 续订服务器。
完成这个步骤来更改或重置 CA 续订服务器。
先决条件
- 您有 IdM 管理员凭证。
步骤
获取 IdM 管理员凭证:
~]$ kinit admin Password for admin@IDM.EXAMPLE.COM:可选:要找出部署中哪些 IdM 服务器有资格成为新的 CA 续订服务器的必需的 CA 角色:
~]$ ipa server-role-find --role 'CA server' ---------------------- 2 server roles matched ---------------------- Server name: server.idm.example.com Role name: CA server Role status: enabled Server name: replica.idm.example.com Role name: CA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
部署中有两个 CA 服务器。
可选:要找出哪个 CA 服务器是当前的 CA 续订服务器,请输入:
~]$ ipa config-show | grep 'CA renewal' IPA CA renewal master: server.idm.example.com当前的续订服务器是
server.idm.example.com。要更改续订服务器配置,请使用
ipa config-mod程序和--ca-renewal-master-server选项:~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com | grep 'CA renewal' IPA CA renewal master: replica.idm.example.com重要您还可以使用以下内容切换到新的 CA 续订服务器:
-
ipa-cacert-manage --renew命令。这个命令同时更新 CA 证书,并使您在其上执行新 CA 续订服务器的 CA 服务器。 ipa-cert-fix命令。当过期的证书会导致失败时,这个命令会恢复部署。它还使您在其上执行新 CA 续订服务器的 CA 服务器。详情请查看当 IdM 离线时续订过期的系统证书。
-
