Red Hat Training

A Red Hat training course is available for RHEL 8

48.7. Hacer que certmonger reanude el seguimiento de los certificados IdM en una réplica de CA

Este procedimiento muestra cómo hacer que certmonger reanude el seguimiento de los certificados del sistema de gestión de identidades (IdM) que son cruciales para una implementación de IdM con una autoridad de certificación integrada después de que el seguimiento de los certificados se haya interrumpido. La interrupción puede deberse a que el host IdM se haya desinscrito de IdM durante la renovación de los certificados del sistema o a que la topología de replicación no funcione correctamente. El procedimiento también muestra cómo hacer que certmonger reanude el seguimiento de los certificados de servicio IdM, es decir, los certificados HTTP, LDAP y PKINIT.

Requisitos previos

  • El host en el que se desea reanudar el seguimiento de los certificados del sistema es un servidor IdM que también es una autoridad de certificación (CA) IdM, pero no el maestro de renovación de la CA IdM.

Procedimiento

  1. Obtenga el PIN de los certificados CA del subsistema: 

    # grep 'internal=' /var/lib/pki/pki-tomcat/conf/password.conf

  2. Añade el seguimiento a los certificados CA del subsistema, sustituyendo [internal PIN] en los comandos de abajo por el PIN obtenido en el paso anterior: 

    # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "caSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "caSigningCert cert-pki-ca"'

# getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "auditSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "auditSigningCert cert-pki-ca"'

# getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "ocspSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "ocspSigningCert cert-pki-ca"'

# getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "subsystemCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "subsystemCert cert-pki-ca"'

# getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "Server-Cert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "Server-Cert cert-pki-ca"'

  3. Añade el seguimiento de los certificados IdM restantes, los certificados HTTP, LDAP, IPA renewal agent y PKINIT: 

    # getcert start-tracking -f /var/lib/ipa/certs/httpd.crt -k /var/lib/ipa/private/httpd.key -p /var/lib/ipa/passwds/idm.example.com-443-RSA -c IPA -C /usr/libexec/ipa/certmonger/restart_httpd

# getcert start-tracking -d /etc/dirsrv/slapd-IDM-EXAMPLE-COM -n "Server-Cert" -c IPA -p /etc/dirsrv/slapd-IDM-EXAMPLE-COM/pwdfile.txt -C '/usr/libexec/ipa/certmonger/restart_dirsrv "IDM-EXAMPLE-COM"'

# getcert start-tracking -f /var/lib/ipa/ra-agent.pem -k /var/lib/ipa/ra-agent.key -c dogtag-ipa-ca-renew-agent -B /usr/libexec/ipa/certmonger/renew_ra_cert_pre -C /usr/libexec/ipa/certmonger/renew_ra_cert

# getcert start-tracking -f /var/kerberos/krb5kdc/kdc.crt -k /var/kerberos/krb5kdc/kdc.key -c dogtag-ipa-ca-renew-agent -B /usr/libexec/ipa/certmonger/renew_ra_cert_pre -C /usr/libexec/ipa/certmonger/renew_kdc_cert

  4. Reiniciar certmonger: 

    # systemctl restart certmonger

  5. Espere un minuto después del inicio de certmonger y compruebe el estado de los nuevos certificados: 

    # getcert list

Recursos adicionales

  • Si todos los certificados del sistema IdM han caducado, siga el procedimiento descrito en esta solución de soporte centrado en el conocimiento ( KCS) para renovar manualmente los certificados del sistema IdM en el maestro de CA IdM que también es el maestro de renovación de CA y el maestro de generación de CRL. A continuación, siga el procedimiento descrito en esta solución KCS para renovar manualmente los certificados del sistema IdM en todos los demás servidores de CA de la topología.