Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 47. Generación de CRL en el servidor IdM CA

Si su implementación de IdM utiliza una autoridad de certificación (CA) integrada, es posible que tenga que trasladar la generación de la lista de revocación de certificados (CRL) de un servidor de gestión de identidades (IdM) a otro. Puede ser necesario, por ejemplo, cuando quiera migrar el servidor a otro sistema.

Sólo un servidor debe generar CRL. La función de generación de CRL suele coincidir con el maestro de renovación de CA de IdM, pero esto no es obligatorio. Antes de retirar el maestro de generación de CRL, el administrador debe seleccionar y configurar un nuevo maestro de generación de CRL.

Este capítulo describe:

  • Detener la generación de CRL en el maestro de IdM.
  • Comenzando a generar CRL en la réplica de IdM.

47.1. Detener la generación de CRL en un servidor IdM

Para dejar de generar la lista de revocación de certificados (CRL) en el servidor editor de CRL de IdM, utilice el comando ipa-crlgen-manage. Antes de desactivar la generación, verifique que el servidor realmente genera CRL. A continuación, puede deshabilitarla.

Requisitos previos

  • El servidor de gestión de identidades (IdM) está instalado en el sistema RHEL 8.1 o más reciente.
  • Debes estar conectado como root.

Procedimiento

  1. Compruebe si su servidor está generando la CRL: 

    [root@server ~]# ipa-crlgen-manage status
CRL generation: enabled
Last CRL update: 2019-10-31 12:00:00
Last CRL Number: 6
The ipa-crlgen-manage command was successful

  2. Dejar de generar la CRL en el servidor: 

    [root@server ~]# ipa-crlgen-manage disable
Stopping pki-tomcatd
Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
Starting pki-tomcatd
Editing /etc/httpd/conf.d/ipa-pki-proxy.conf
Restarting httpd
CRL generation disabled on the local host. Please make sure to configure CRL generation on another master with ipa-crlgen-manage enable.
The ipa-crlgen-manage command was successful

  3. Compruebe si el servidor ha dejado de generar CRL: 

    [root@server ~]# ipa-crlgen-manage status

El servidor ha dejado de generar la CRL. El siguiente paso es habilitar la generación de CRL en el nuevo servidor RHEL 8.