Red Hat Training

A Red Hat training course is available for RHEL 8

45.3. Cambio de una CA externa a una autofirmada en IdM

Complete este procedimiento para cambiar de un certificado firmado externamente a un certificado autofirmado de la autoridad de certificación (CA) de Gestión de Identidades (IdM). Con una CA autofirmada, la renovación del certificado de la CA se gestiona automáticamente: un administrador del sistema no necesita enviar una solicitud de firma de certificado (CSR) a una autoridad externa.

El cambio de una CA firmada externamente a una autofirmada sustituye sólo el certificado de la CA. Los certificados firmados por la CA anterior siguen siendo válidos y siguen en uso. Por ejemplo, la cadena de certificados para el certificado LDAP permanece sin cambios incluso después de haber cambiado a una CA autofirmada: 

external_CA certificado > IdM CA certificado > LDAP certificado

Requisitos previos

  • Tiene acceso de root al maestro de renovación de la CA de IdM.
  • Tienes las credenciales de administrador de IdM.

Procedimiento

  1. En el maestro de renovación de CA de IdM, renueve el certificado de CA como autofirmado: 

    ~]# ipa-cacert-manage renew --self-signed
Renewing CA certificate, please wait
CA certificate successfully renewed
The ipa-cacert-manage command was successful

  2. En todos los servidores y clientes de IdM, actualice las bases de datos de certificados locales de IdM con los certificados del servidor: 

    [client ~]$ kinit admin
[client ~]$ ipa-certupdate
Systemwide CA database updated.
Systemwide CA database updated.
The ipa-certupdate command was successful

  3. Opcionalmente, para comprobar si la actualización se ha realizado con éxito y el nuevo certificado de CA se ha añadido al archivo /etc/ipa/ca.crt: 

    [client ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout
[...]
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 39 (0x27)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority
        Validity
            Not Before: Jul  1 16:32:45 2019 GMT
            Not After : Jul  1 16:32:45 2039 GMT
        Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority
[...]

    La salida muestra que la actualización se ha realizado con éxito, ya que el nuevo certificado de CA aparece junto a los certificados de CA más antiguos.