Red Hat Training
A Red Hat training course is available for RHEL 8
Capítulo 46. Renovación de certificados de sistema caducados cuando el IdM está desconectado
Cuando un certificado de sistema ha caducado, Identity Management (IdM) no se inicia. IdM soporta la renovación de los certificados del sistema cuando IdM está fuera de línea utilizando la herramienta ipa-cert-fix
.
Requisitos previos
- IdM sólo se instala en Red Hat Enterprise Linux 8.1 o posterior
46.1. Renovación de certificados de sistema caducados en una CA Renewal Master
Esta sección describe cómo aplicar la herramienta ipa-cert-fix
en certificados IdM caducados.
Si ejecuta la herramienta ipa-cert-fix
en un host de CA (autoridad de certificación) que no es el maestro de renovación de CA, y la utilidad renueva los certificados compartidos, ese host se convierte automáticamente en el nuevo maestro de renovación de CA en el dominio. Siempre debe haber un único CA Renewal Master en el dominio para evitar incoherencias.
Requisitos previos
- Inicie sesión en el servidor con derechos de administración
Procedimiento
Inicie la herramienta
ipa-cert-fix
para analizar el sistema y listar los certificados caducados que requieren renovación:# ipa-cert-fix ... The following certificates will be renewed: Dogtag sslserver certificate: Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205 Serial: 13 Expires: 2019-05-12 05:55:47 ... Enter "yes" to proceed:
Introduzca
yes
para iniciar el proceso de renovación:Enter "yes" to proceed: yes Proceeding. Renewed Dogtag sslserver certificate: Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205 Serial: 268369925 Expires: 2021-08-14 02:19:33 ... Becoming renewal master. The ipa-cert-fix command was successful
Puede pasar hasta un minuto antes de que
ipa-cert-fix
renueve todos los certificados caducados.Opcionalmente, verifique que todos los servicios están ahora en funcionamiento:
# ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING ipa: INFO: The ipactl command was successful
En este punto, los certificados han sido renovados y los servicios están funcionando. El siguiente paso es comprobar otros servidores en el dominio IdM.