1.3. 为 RHEL 9 IdM 服务器分配 CA 续订服务器角色
如果您的 IdM 部署使用嵌入的证书颁发机构(CA),请将 CA renewal server 角色分配给 Red Hat Enterprise Linux (RHEL) 9 IdM 服务器。
在 rhel9.example.com
上,将 rhel9.example.com
配置为新的 CA 续订服务器:
配置
rhel9.example.com
以处理 CA 子系统证书续订:[root@rhel9 ~]# ipa config-mod --ca-renewal-master-server rhel9.example.com ... IPA masters: rhel8.example.com, rhel9.example.com IPA CA servers: rhel8.example.com, rhel9.example.com IPA CA renewal master: rhel9.example.com
输出确认更新成功。
在
rhel9.example.com
上,启用证书更新器任务:-
打开
/etc/pki/pki-tomcat/ca/CS.cfg
配置文件进行编辑。 -
删除
ca.certStatusUpdateInterval
条目,或者将其设置为所需的间隔(以秒为单位)。默认值为600
。 -
保存并关闭
/etc/pki/pki-tomcat/ca/CS.cfg
配置文件。 重启 IdM 服务:
[user@rhel9 ~]$ ipactl restart
-
打开
在
rhel8.example.com
上,禁用证书更新器任务:-
打开
/etc/pki/pki-tomcat/ca/CS.cfg
配置文件进行编辑。 将
ca.certStatusUpdateInterval
改为0
,或者如果以下条目不存在,就添加它:ca.certStatusUpdateInterval=0
-
保存并关闭
/etc/pki/pki-tomcat/ca/CS.cfg
配置文件。 重启 IdM 服务:
[user@rhel8 ~]$ ipactl restart
-
打开