Capítulo 45. Uso del maestro de renovación de la CA de IdM

En un despliegue de gestión de identidades (IdM) que utiliza una autoridad de certificación (CA) integrada, el servidor maestro de renovación de CA mantiene y renueva los certificados del sistema IdM. Garantiza que los despliegues de IdM no se interrumpan.

Los certificados del sistema IdM incluyen:

Lo que caracteriza a los certificados del sistema es que sus claves son compartidas por todas las réplicas de la CA. En cambio, los certificados de servicio IdM (por ejemplo, los certificados LDAP, HTTP y PKINIT ), tienen pares de claves y nombres de sujetos diferentes en distintos servidores de CA IdM.

En la topología de IdM, por defecto, el primer servidor maestro de CA de IdM es el maestro de renovación de CA.

El papel del servidor maestro de renovación de CA

Los certificados IdM CA, IdM CA subsystem, y IdM RA son cruciales para el despliegue de IdM. Cada certificado se almacena en una base de datos NSS en el directorio /etc/pki/pki-tomcat/ y también como una entrada de la base de datos LDAP. El certificado almacenado en LDAP debe coincidir con el certificado almacenado en la base de datos NSS. Si no coinciden, se producen fallos de autenticación entre el marco de trabajo de IdM y la CA de IdM, y entre la CA de IdM y LDAP.

Todas las réplicas de IdM CA tienen solicitudes de seguimiento para cada certificado de sistema. Si una implementación de IdM con CA integrada no contiene un maestro de renovación de CA, cada servidor de CA de IdM solicita la renovación de los certificados del sistema de forma independiente. Esto da lugar a que diferentes réplicas de CA tengan varios certificados de sistema y se produzcan fallos de autenticación.

La designación de una réplica de CA como maestro de renovación permite que los certificados del sistema se renueven exactamente una vez, cuando sea necesario, y así se evitan los fallos de autenticación.

El papel de certmonger en las réplicas de CA

El servicio certmonger que se ejecuta en todas las réplicas de CA de IdM utiliza el ayudante de renovación dogtag-ipa-ca-renew-agent para realizar un seguimiento de los certificados del sistema IdM. El programa de ayuda a la renovación lee la configuración del maestro de renovación de la CA. En cada réplica de la CA que no es el maestro de renovación de la CA, el programa de ayuda a la renovación recupera los últimos certificados del sistema de las entradas LDAP de ca_renewal. Debido a la falta de determinación de cuándo se producen exactamente los intentos de renovación de certmonger, el ayudante de renovación dogtag-ipa-ca-renew-agent a veces intenta actualizar un certificado de sistema antes de que el maestro de renovación de CA haya renovado realmente el certificado. Si esto ocurre, el certificado antiguo, que pronto expirará, se devuelve a certmonger en la réplica de la CA. El certmonger, al darse cuenta de que es el mismo certificado que ya está almacenado en su base de datos, sigue intentando renovar el certificado con cierto retraso entre los intentos individuales hasta que pueda recuperar el certificado actualizado del maestro de renovación de la CA.

El correcto funcionamiento del maestro de renovación de IdM CA

Un despliegue de IdM con una CA incrustada es un despliegue de IdM que se instaló con una CA de IdM, o cuyo servidor maestro de CA de IdM se instaló posteriormente. Una implementación de IdM con una CA integrada debe tener en todo momento exactamente una réplica de CA configurada como maestro de renovación. El servidor maestro de renovación debe estar en línea y en pleno funcionamiento, y debe replicarse correctamente con los demás servidores.

Si se elimina el servidor maestro de renovación de CA actual mediante los comandos ipa server-del, ipa-replica-manage del, ipa-csreplica-manage del o ipa-server-install --uninstall, se asigna automáticamente una réplica de CA como servidor maestro de renovación de CA. Esta política garantiza que la configuración del maestro de renovación siga siendo válida.

Esta póliza no cubre las siguientes situaciones: