Red Hat Training

A Red Hat training course is available for RHEL 8

46.2. Verificación de otros servidores IdM en el dominio IdM después de la renovación

Después de la renovación de los certificados del CA Renewal Master con la herramienta ipa-cert-fix, debe:

  • Reinicie todos los demás servidores de gestión de identidades (IdM) del dominio.
  • Compruebe si certmonger renovó los certificados.
  • Si hay otras réplicas de Autoridades de Certificación (CA) con certificados de sistema caducados, renueve también esos certificados con la herramienta ipa-cert-fix.

Requisitos previos

  • Inicie sesión en el servidor con derechos de administración.

Procedimiento

  1. Reinicie IdM con el parámetro --force:

    # ipactl restart --force

    Con el parámetro --force, la utilidad ipactl ignora los fallos de inicio de servicios individuales. Por ejemplo, si el servidor es también una CA con certificados caducados, el servicio pki-tomcat no se inicia. Esto es esperado e ignorado por el uso del parámetro --force.

  2. Tras el reinicio, compruebe que el servicio certmonger ha renovado los certificados (el estado del certificado dice MONITORING):

    # getcert list | egrep '^Request|status:|subject:'
    Request ID '20190522120745':
            status: MONITORING
            subject: CN=IPA RA,O=EXAMPLE.COM 201905222205
    Request ID '20190522120834':
            status: MONITORING
            subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205
    ...

    Puede pasar algún tiempo antes de que certmonger renueve los certificados compartidos en la réplica.

  3. Si el servidor es también una CA, el comando anterior informa CA_UNREACHABLE para el certificado que utiliza el servicio pki-tomcat:

    Request ID '20190522120835':
            status: CA_UNREACHABLE
            subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
    ...
  4. Para renovar este certificado, utilice la utilidad ipa-cert-fix:

    # ipa-cert-fix
    Dogtag sslserver certificate:
      Subject: CN=ca2.example.com,O=EXAMPLE.COM
      Serial:  3
      Expires: 2019-05-11 12:07:11
    
    Enter "yes" to proceed: yes
    Proceeding.
    Renewed Dogtag sslserver certificate:
      Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
      Serial:  15
      Expires: 2019-08-14 04:25:05
    
    The ipa-cert-fix command was successful

Ahora, todos los certificados IdM han sido renovados y funcionan correctamente.