Red Hat Training

A Red Hat training course is available for RHEL 8

45.2. Cambio y restablecimiento del maestro de renovación de la CA de IdM

Cuando se da de baja una autoridad de certificación (CA) maestra de renovación, Identity Management (IdM) selecciona automáticamente una nueva CA maestra de renovación de la lista de servidores de CA de IdM. El administrador del sistema no puede influir en la selección.

Para poder seleccionar el nuevo servidor maestro de renovación de IdM CA, el administrador del sistema debe realizar la sustitución manualmente. Seleccione el maestro antes de iniciar el proceso de desmantelamiento del maestro de renovación actual.

Si la configuración actual del maestro de renovación de CA no es válida, reinicie el maestro de renovación de CA de IdM.

Complete este procedimiento para cambiar o restablecer el maestro de renovación de CA.

Requisitos previos

  • Tienes las credenciales de administrador de IdM.

Procedimiento

  1. Obtenga las credenciales del administrador de IdM: 

    ~]$ kinit admin
Password for admin@IDM.EXAMPLE.COM:

  2. Opcionalmente, para averiguar qué servidores IdM de la implantación tienen la función de CA necesaria para poder convertirse en el nuevo maestro de renovación de CA: 

    ~]$ ipa server-role-find --role 'CA server'
----------------------
2 server roles matched
----------------------
  Server name: server.idm.example.com
  Role name: CA server
  Role status: enabled

  Server name: replica.idm.example.com
  Role name: CA server
  Role status: enabled
----------------------------
Number of entries returned 2
----------------------------

    Hay dos servidores CA en el despliegue.

  3. Opcionalmente, para saber qué servidor de CA es el actual maestro de renovación de CA, introduzca: 

    ~]$ ipa config-show | grep 'CA renewal master'
  IPA CA renewal master: server.idm.example.com

    El actual maestro de la renovación es server.idm.example.com.

  4. Para cambiar la configuración del maestro de renovación, utilice la utilidad ipa config-mod con la opción --ca-renewal-master-server: 

    ~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com | grep 'CA renewal master'
  IPA CA renewal master: replica.idm.example.com
    Importante

    También puede cambiar a un nuevo maestro de renovación de CA utilizando:

    • el comando ipa-cacert-manage --renew. Este comando renueva el certificado de la CA and y convierte al servidor de la CA en el que se ejecuta el comando en el nuevo maestro de renovación de la CA.

    • el comando ipa-cert-fix. Este comando recupera el despliegue cuando los certificados caducados están causando fallos. También hace que el servidor de CA en el que se ejecuta el comando sea el nuevo maestro de renovación de CA.

      Para obtener más información, consulte Renovación de certificados de sistema caducados cuando el IdM está desconectado.