Red Hat Training
A Red Hat training course is available for RHEL 8
45.3. Cambio de una CA externa a una autofirmada en IdM
Complete este procedimiento para cambiar de un certificado firmado externamente a un certificado autofirmado de la autoridad de certificación (CA) de Gestión de Identidades (IdM). Con una CA autofirmada, la renovación del certificado de la CA se gestiona automáticamente: un administrador del sistema no necesita enviar una solicitud de firma de certificado (CSR) a una autoridad externa.
El cambio de una CA firmada externamente a una autofirmada sustituye sólo el certificado de la CA. Los certificados firmados por la CA anterior siguen siendo válidos y siguen en uso. Por ejemplo, la cadena de certificados para el certificado LDAP
permanece sin cambios incluso después de haber cambiado a una CA autofirmada:
external_CA
certificado >IdM CA
certificado >LDAP
certificado
Requisitos previos
- Tiene acceso de root al maestro de renovación de la CA de IdM.
- Tienes las credenciales de administrador de IdM.
Procedimiento
En el maestro de renovación de CA de IdM, renueve el certificado de CA como autofirmado:
~]# ipa-cacert-manage renew --self-signed Renewing CA certificate, please wait CA certificate successfully renewed The ipa-cacert-manage command was successful
En todos los servidores y clientes de IdM, actualice las bases de datos de certificados locales de IdM con los certificados del servidor:
[client ~]$ kinit admin [client ~]$ ipa-certupdate Systemwide CA database updated. Systemwide CA database updated. The ipa-certupdate command was successful
Opcionalmente, para comprobar si la actualización se ha realizado con éxito y el nuevo certificado de CA se ha añadido al archivo
/etc/ipa/ca.crt
:[client ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout [...] Certificate: Data: Version: 3 (0x2) Serial Number: 39 (0x27) Signature Algorithm: sha256WithRSAEncryption Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority Validity Not Before: Jul 1 16:32:45 2019 GMT Not After : Jul 1 16:32:45 2039 GMT Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority [...]
La salida muestra que la actualización se ha realizado con éxito, ya que el nuevo certificado de CA aparece junto a los certificados de CA más antiguos.