Chapitre 15. Génération de CRL sur le serveur de l'autorité de certification IdM

Si votre déploiement IdM utilise une autorité de certification (CA) intégrée, il se peut que vous deviez déplacer la génération de la liste de révocation des certificats (CRL) d'un serveur de gestion des identités (IdM) à un autre. Cela peut s'avérer nécessaire, par exemple, lorsque vous souhaitez migrer le serveur vers un autre système.

Ne configurez qu'un seul serveur pour générer la CRL. Le serveur IdM qui joue le rôle d'éditeur de CRL est généralement le même que celui qui joue le rôle de serveur de renouvellement de l'autorité de certification, mais ce n'est pas obligatoire. Avant de mettre hors service le serveur éditeur de CRL, sélectionnez et configurez un autre serveur pour jouer le rôle de serveur éditeur de CRL.

Ce chapitre décrit

  • Arrêt de la génération de CRL sur le serveur IdM.
  • Démarrage de la génération de CRL sur la réplique IdM.

15.1. Arrêt de la génération de CRL sur un serveur IdM

Pour arrêter la génération de la liste de révocation de certificats (CRL) sur le serveur IdM CRL publisher, utilisez la commande ipa-crlgen-manage. Avant de désactiver la génération, vérifiez que le serveur génère réellement des CRL. Vous pouvez ensuite le désactiver.

Conditions préalables

  • Vous devez être connecté en tant que root.

Procédure

  1. Vérifiez si votre serveur génère la CRL : 

    [root@server ~]# ipa-crlgen-manage status
CRL generation: enabled
Last CRL update: 2019-10-31 12:00:00
Last CRL Number: 6
The ipa-crlgen-manage command was successful

  2. Arrêter la génération de la CRL sur le serveur : 

    [root@server ~]# ipa-crlgen-manage disable
Stopping pki-tomcatd
Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
Starting pki-tomcatd
Editing /etc/httpd/conf.d/ipa-pki-proxy.conf
Restarting httpd
CRL generation disabled on the local host. Please make sure to configure CRL generation on another master with ipa-crlgen-manage enable.
The ipa-crlgen-manage command was successful

  3. Vérifier si le serveur a cessé de générer des CRL : 

    [root@server ~]# ipa-crlgen-manage status

Le serveur a cessé de générer la CRL. L'étape suivante consiste à activer la génération de CRL sur la réplique IdM.