搜索

6.5. 管理服务器角色

download PDF
根据在 IdM 服务器中安装的服务,它可以执行各种 服务器角色。例如:CA 服务器、DNS 服务器或密钥恢复机构(KRA)服务器.

6.5.1. 查看服务器角色

Web UI:查看服务器角色

有关支持的服务器角色的完整列表,请参阅 IPA 服务器 拓扑 服务器角色
  • 缺少 角色状态意味着拓扑中没有服务器执行该角色。
  • 启用 角色状态意味着拓扑中的一个或多个服务器正在执行该角色。

图 6.14. Web UI 中的服务器角色

Web UI 中的服务器角色

命令行:查看服务器角色

ipa config-show 命令显示所有 CA 服务器、NTP 服务器和当前的 CA 续订 master:
$ ipa config-show
  ...
  IPA masters: server1.example.com, server2.example.com, server3.example.com
  IPA CA servers: server1.example.com, server2.example.com
  IPA NTP servers: server1.example.com, server2.example.com, server3.example.com
  IPA CA renewal master: server1.example.com
ipa server-show 命令显示在特定服务器上启用的角色列表。例如,对于 server.example.com 上启用的角色列表:
$ ipa server-show
Server name: server.example.com
  ...
  Enabled server roles: CA server, DNS server, NTP server, KRA server
ipa server-find --servrole 搜索启用了特定服务器角色的所有服务器。例如,要搜索所有 CA 服务器:
$ ipa server-find --servrole "CA server"
---------------------
2 IPA servers matched
---------------------
  Server name: server1.example.com
  ...

  Server name: server2.example.com
  ...
----------------------------
Number of entries returned 2
----------------------------

6.5.2. 将副本提升到主 CA 服务器

注意
本节论述了在域级别 1 中更改 CA 续订 master(请参阅 第 7 章 显示和提升域级别)。有关在域级别 0 更改 CA 续订 master 的文档,请参考 第 D.4 节 “将副本提升到主 CA 服务器”
如果您的 IdM 部署使用嵌入的证书颁发机构(CA),其中一个 IdM CA 服务器充当 master CA:它管理 CA 子系统证书的续订并生成证书撤销列表(CRL)。默认情况下,master CA 是系统管理员使用 ipa-server-installipa-ca-install 命令在其上安装 CA 角色的第一个服务器。
如果您计划使 master CA 服务器离线或停用它,请提升另一个 CA 服务器作为新的 CA 续订 master:
  1. 配置副本以处理 CA 子系统证书续订。
  2. 配置副本以生成 CRL。请参阅 第 6.5.2.2 节 “更改 Which Server Generates CRL”
  3. 在停用之前的 master CA 服务器前,请确保新的 master 正常工作。请参阅 第 6.5.2.3 节 “验证新 master CA 服务器是否配置正确”

6.5.2.1. 更改当前 CA 续订 master

Web UI:更改当前 CA 续订 master

  1. 选择 IPA Server Configuration
  2. IPA CA renewal master 字段中,选择新的 CA renewal master。

命令行:更改当前 CA 续订 master

使用 ipa config-mod --ca-renewal-master-server 命令:
$ ipa config-mod --ca-renewal-master-server new_ca_renewal_master.example.com
  ...
  IPA masters: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA CA servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA NTP servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA CA renewal master: new_ca_renewal_master.example.com
输出确认更新成功。

6.5.2.2. 更改 Which Server Generates CRL

要更改哪个服务器生成证书撤销列表(CRL):
  1. 如果您不知道当前的 CRL 生成 master,在每个 IdM 证书颁发机构(CA)上使用 ipa-crlgen-manage status 命令来确定是否启用了 CRL 生成:
    # ipa-crlgen-manage status
    CRL generation: enabled
  2. 在当前的 CRL 生成 master 上,禁用此功能:
    # ipa-crlgen-manage disable
  3. 在您要配置为新 CRL 生成 master 的其他 CA 主机上,启用此功能:
    # ipa-crlgen-manage enable

6.5.2.3. 验证新 master CA 服务器是否配置正确

确保新的 master CA 服务器上存在 /var/lib/ipa/pki-ca/publish/MasterCRL.bin 文件。
该文件会根据使用 ca.crl.MasterCRL.autoUpdateInterval 参数在 /etc/pki/pki-tomcat/ca/CS.cfg 文件中定义的时间间隔生成。默认值为 240 分钟(4 小时)。
注意
如果您更新 ca.crl.MasterCRL.autoUpdateInterval 参数,则更改将在下一次调度的 CRL 更新后生效。
如果文件存在,则新的 master CA 服务器会被正确配置,您可以安全地忽略之前的 CA master 系统。

6.5.3. Hidden Replicas 的降级和升级

安装副本后,您可以更改副本是隐藏还是可见:
  • 要将可见的副本降级到隐藏的副本:
    1. 如果副本是 CA 续订 master,请将该服务移到另一个副本。详情请查看 第 6.5.2.1 节 “更改当前 CA 续订 master”
    2. 将副本的状态更改为 隐藏
      # ipa server-state replica.idm.example.com --state=hidden
  • 要将隐藏的副本提升到可见的副本,请输入:
    # ipa server-state replica.idm.example.com --state=enabled
注意
隐藏的副本功能在 Red Hat Enterprise Linux 7.7 及更新的版本中作为技术预览提供,因此不受支持。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.