23.2. 禁用 IdM 子 CA
在撤销 IdM 子 CA 的 CA 证书以使该子 CA 发布的所有证书无效后,如果您不再需要 IdM 子 CA,请考虑禁用它。您可以稍后重新启用 sub-CA。
禁用子 CA 可防止子 CA 发布新证书,但会允许线证书状态协议 (OCSP) 对之前发布的证书进行响应,这是因为子 CA 的签名密钥被保留。
先决条件
- 以 IdM 管理员身份登录。
步骤
输入
ipa ca-disable命令并指定 sub-CA 的名称:$ ipa ca-disable webserver-CA -------------------- Disabled CA "webserver-CA" --------------------
