红帽全球峰会3.3. 保护 IdM CA 数据
如果您的部署包含了集成的 IdM 证书颁发机构 (CA),请安装多个 CA 副本,以便在其中一个丢失时创建额外的 CA 副本。
流程
配置三个或更多副本来提供 CA 服务。
要安装一个带有 CA 服务的新副本,运行带有
--setup-ca选项的ipa-replica-install命令。[root@server ~]# ipa-replica-install --setup-ca要在一个预先存在的副本中安装 CA 服务,请运行
ipa-ca-install。[root@replica ~]# ipa-ca-install
在 CA 副本之间创建 CA 复制协议。
[root@careplica1 ~]# ipa topologysegment-add Suffix name: ca Left node: ca-replica1.example.com Right node: ca-replica2.example.com Segment name [ca-replica1.example.com-to-ca-replica2.example.com]: new_segment --------------------------- Added segment "new_segment" --------------------------- Segment name: new_segment Left node: ca-replica1.example.com Right node: ca-replica2.example.com Connectivity: both
警告
如果只有一个服务器提供 CA 服务,当这个服务器被损坏时,则整个环境将会丢失。如果您使用 IdM CA,红帽 强烈建议 安装三个或更多具有 CA 服务的副本,它们之间有 CA 复制协议。
其他资源
