6.5. 管理服务器角色
根据在 IdM 服务器中安装的服务,它可以执行各种 服务器角色。例如:CA 服务器、DNS 服务器或密钥恢复机构(KRA)服务器.
6.5.1. 查看服务器角色
Web UI:查看服务器角色
有关支持的服务器角色的完整列表,请参阅 。
- 缺少 角色状态意味着拓扑中没有服务器执行该角色。
- 启用 角色状态意味着拓扑中的一个或多个服务器正在执行该角色。
图 6.14. Web UI 中的服务器角色
命令行:查看服务器角色
ipa config-show 命令显示所有 CA 服务器、NTP 服务器和当前的 CA 续订 master:
$ ipa config-show ... IPA masters: server1.example.com, server2.example.com, server3.example.com IPA CA servers: server1.example.com, server2.example.com IPA NTP servers: server1.example.com, server2.example.com, server3.example.com IPA CA renewal master: server1.example.com
ipa server-show 命令显示在特定服务器上启用的角色列表。例如,对于 server.example.com 上启用的角色列表:
$ ipa server-show
Server name: server.example.com
...
Enabled server roles: CA server, DNS server, NTP server, KRA server
ipa server-find --servrole 搜索启用了特定服务器角色的所有服务器。例如,要搜索所有 CA 服务器:
$ ipa server-find --servrole "CA server" --------------------- 2 IPA servers matched --------------------- Server name: server1.example.com ... Server name: server2.example.com ... ---------------------------- Number of entries returned 2 ----------------------------
6.5.2. 将副本提升到主 CA 服务器
注意
本节论述了在域级别 1 中更改 CA 续订 master(请参阅 第 7 章 显示和提升域级别)。有关在域级别 0 更改 CA 续订 master 的文档,请参考 第 D.4 节 “将副本提升到主 CA 服务器”。
如果您的 IdM 部署使用嵌入的证书颁发机构(CA),其中一个 IdM CA 服务器充当 master CA:它管理 CA 子系统证书的续订并生成证书撤销列表(CRL)。默认情况下,master CA 是系统管理员使用 ipa-server-install 或 ipa-ca-install 命令在其上安装 CA 角色的第一个服务器。
如果您计划使 master CA 服务器离线或停用它,请提升另一个 CA 服务器作为新的 CA 续订 master:
- 配置副本以处理 CA 子系统证书续订。
- 有关域级别 1 的信息,请参阅 第 6.5.2.1 节 “更改当前 CA 续订 master”。
- 有关域级别 0,请参阅 第 D.4.1 节 “更改 Which 服务器处理证书续订”。
- 配置副本以生成 CRL。请参阅 第 6.5.2.2 节 “更改 Which Server Generates CRL”。
- 在停用之前的 master CA 服务器前,请确保新的 master 正常工作。请参阅 第 6.5.2.3 节 “验证新 master CA 服务器是否配置正确”。
6.5.2.1. 更改当前 CA 续订 master
Web UI:更改当前 CA 续订 master
- 选择
。 - 在 IPA CA renewal master 字段中,选择新的 CA renewal master。
命令行:更改当前 CA 续订 master
使用 ipa config-mod --ca-renewal-master-server 命令:
$ ipa config-mod --ca-renewal-master-server new_ca_renewal_master.example.com
...
IPA masters: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
IPA CA servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
IPA NTP servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
IPA CA renewal master: new_ca_renewal_master.example.com
输出确认更新成功。
6.5.2.2. 更改 Which Server Generates CRL
要更改哪个服务器生成证书撤销列表(CRL):
- 如果您不知道当前的 CRL 生成 master,在每个 IdM 证书颁发机构(CA)上使用 ipa-crlgen-manage status 命令来确定是否启用了 CRL 生成:
# ipa-crlgen-manage status CRL generation: enabled
- 在当前的 CRL 生成 master 上,禁用此功能:
# ipa-crlgen-manage disable
- 在您要配置为新 CRL 生成 master 的其他 CA 主机上,启用此功能:
# ipa-crlgen-manage enable
6.5.2.3. 验证新 master CA 服务器是否配置正确
确保新的 master CA 服务器上存在
/var/lib/ipa/pki-ca/publish/MasterCRL.bin
文件。
该文件会根据使用
ca.crl.MasterCRL.autoUpdateInterval
参数在 /etc/pki/pki-tomcat/ca/CS.cfg
文件中定义的时间间隔生成。默认值为 240 分钟(4 小时)。
注意
如果您更新
ca.crl.MasterCRL.autoUpdateInterval
参数,则更改将在下一次调度的 CRL 更新后生效。
如果文件存在,则新的 master CA 服务器会被正确配置,您可以安全地忽略之前的 CA master 系统。