Red Hat Training
A Red Hat training course is available for RHEL 8
46.2. Verificación de otros servidores IdM en el dominio IdM después de la renovación
Después de la renovación de los certificados del CA Renewal Master con la herramienta ipa-cert-fix
, debe:
- Reinicie todos los demás servidores de gestión de identidades (IdM) del dominio.
- Compruebe si certmonger renovó los certificados.
-
Si hay otras réplicas de Autoridades de Certificación (CA) con certificados de sistema caducados, renueve también esos certificados con la herramienta
ipa-cert-fix
.
Requisitos previos
- Inicie sesión en el servidor con derechos de administración.
Procedimiento
Reinicie IdM con el parámetro
--force
:# ipactl restart --force
Con el parámetro
--force
, la utilidadipactl
ignora los fallos de inicio de servicios individuales. Por ejemplo, si el servidor es también una CA con certificados caducados, el serviciopki-tomcat
no se inicia. Esto es esperado e ignorado por el uso del parámetro--force
.Tras el reinicio, compruebe que el servicio
certmonger
ha renovado los certificados (el estado del certificado dice MONITORING):# getcert list | egrep '^Request|status:|subject:' Request ID '20190522120745': status: MONITORING subject: CN=IPA RA,O=EXAMPLE.COM 201905222205 Request ID '20190522120834': status: MONITORING subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205 ...
Puede pasar algún tiempo antes de que
certmonger
renueve los certificados compartidos en la réplica.Si el servidor es también una CA, el comando anterior informa
CA_UNREACHABLE
para el certificado que utiliza el serviciopki-tomcat
:Request ID '20190522120835': status: CA_UNREACHABLE subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205 ...
Para renovar este certificado, utilice la utilidad
ipa-cert-fix
:# ipa-cert-fix Dogtag sslserver certificate: Subject: CN=ca2.example.com,O=EXAMPLE.COM Serial: 3 Expires: 2019-05-11 12:07:11 Enter "yes" to proceed: yes Proceeding. Renewed Dogtag sslserver certificate: Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205 Serial: 15 Expires: 2019-08-14 04:25:05 The ipa-cert-fix command was successful
Ahora, todos los certificados IdM han sido renovados y funcionan correctamente.