26.3. IdM 内部证书续订过程
默认情况下,certmonger
跟踪内部证书,触发续订并请求 IdM CA 发布新证书。
如果您使用外部 CA,且您的内部证书由这个 CA 发布,则它们不会自动续订。在这种情况下,您应该监控证书的过期日期,以确保在过期前续订它们。续订过程会非常耗时,如果您没有仔细跟踪过期日期,您的证书将过期,某些服务将不再可用。
警告
如果您的内部 Red Hat Identity Management (IdM)证书过期了,则 IdM 无法启动。
IdM CA 续订服务器在过期日期前 28 天续订共享的内部证书。certmonger
会触发此续订,并将新证书上传到 cn=<nickname>,cn=ca_renewal,cn=ipa,cn=etc,$BASEDN
。certmonger
还触发其他 IdM 服务器上的续订过程,但它是在非 CA 续订服务器上执行的,它不会请求新证书,但会从 LDAP 下载证书。请注意,Server-Cert cert-pki-ca
、HTTP、LDAP 和 PKINIT 证书特定于每个副本,其中在主题中包含主机名。
注意
如果您在证书过期前使用 getcert
手动续订共享证书,则不会在其他副本上触发续订过程,且您必须在其他副本上运行 getcert
,以执行从 LDAP 下载更新的证书。