第 14 章 当 IdM 离线时续订已过期的系统证书
如果系统证书已过期,Identity Management(IdM)无法启动。IdM 支持使用 ipa-cert-fix 工具更新系统证书。
-
通过在主机上输入
ipactl start --ignore-service-failures命令来确保 LDAP 服务正在运行。
14.1. 在 CA 续订服务器中续订已过期的系统证书
按照以下流程对过期的 IdM 证书应用 ipa-cert-fix 工具。
重要
如果您在不是 CA 续订服务器的 CA(证书授权机构)主机上运行 ipa-cert-fix 工具,且它续订共享的证书,则该主机会自动变为域中的新 CA 续订服务器。域中必须始终只有一个 CA 续订服务器,以避免不一致。
先决条件
- 使用管理权限登录到服务器
步骤
-
可选:备份系统。这强烈推荐,因为
ipa-cert-fix对nssdb进行了不可逆的更改。因为ipa-cert-fix也对 LDAP 进行了更改,因此建议也备份整个集群。 启动
ipa-cert-fix工具以分析系统,并列出需要续订的过期证书:# ipa-cert-fix ... The following certificates will be renewed: Dogtag sslserver certificate: Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205 Serial: 13 Expires: 2019-05-12 05:55:47 ... Enter "yes" to proceed:
输入
yes以开始续订过程:Enter "yes" to proceed: true Proceeding. Renewed Dogtag sslserver certificate: Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205 Serial: 268369925 Expires: 2021-08-14 02:19:33 ... Becoming renewal master. The ipa-cert-fix command was successful
ipa-cert-fix续订所有过期的证书前可能需要一分钟。
验证
验证所有服务现在是否都在运行:
# ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING ipa: INFO: The ipactl command was successful
此时,证书已被更新,服务正在运行。下一步是检查 IdM 域中的其他服务器。
注意
如果您需要修复跨多个 CA 服务器的证书:
-
确保 LDAP 复制在拓扑中正常工作后,根据上述流程,首先在一台 CA 服务器上运行
ipa-cert-fix。 -
在另一台 CA 服务器上运行
ipa-cert-fix之前,请通过getcert-resubmit(在另一台 CA 服务器上)触发共享证书的 Certmonger 续订,以避免不必要的共享证书的续订。
