Chapitre 12. Renouvellement des certificats système expirés lorsque l'IdM est hors ligne

Si un certificat système a expiré, la gestion des identités (IdM) ne démarre pas. IdM prend en charge le renouvellement des certificats système même dans cette situation en utilisant l'outil ipa-cert-fix.

  • Assurez-vous que le service LDAP fonctionne en entrant la commande ipactl start --ignore-service-failures sur l'hôte.

12.1. Renouvellement des certificats système expirés sur un serveur de renouvellement de l'autorité de certification

Cette section décrit comment appliquer l'outil ipa-cert-fix aux certificats IdM expirés.

Important

Si vous exécutez l'outil ipa-cert-fix sur un hôte CA (Autorité de certification) qui n'est pas le serveur de renouvellement CA, et que l'utilitaire renouvelle les certificats partagés, cet hôte devient automatiquement le nouveau serveur de renouvellement CA dans le domaine. Il doit toujours y avoir un seul serveur de renouvellement de l'autorité de certification dans le domaine pour éviter les incohérences.

Conditions préalables

  • Se connecter au serveur avec les droits d'administration

Procédure

  1. Lancez l'outil ipa-cert-fix pour analyser le système et dresser la liste des certificats expirés qui doivent être renouvelés : 

    # ipa-cert-fix
...
The following certificates will be renewed:

Dogtag sslserver certificate:
  Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
  Serial:  13
  Expires: 2019-05-12 05:55:47
...
Enter "yes" to proceed:

  2. Saisissez yes pour lancer la procédure de renouvellement : 

    Enter "yes" to proceed: yes
Proceeding.
Renewed Dogtag sslserver certificate:
  Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
  Serial:  268369925
  Expires: 2021-08-14 02:19:33
...

Becoming renewal master.
The ipa-cert-fix command was successful

    Il peut s'écouler jusqu'à une minute avant que ipa-cert-fix ne renouvelle tous les certificats expirés.

  3. Si vous le souhaitez, vérifiez que tous les services sont en cours d'exécution : 

    # ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa: INFO: The ipactl command was successful

À ce stade, les certificats ont été renouvelés et les services fonctionnent. L'étape suivante consiste à vérifier les autres serveurs du domaine IdM.

Note

Si vous devez réparer des certificats sur plusieurs serveurs d'autorité de certification :

  1. Après avoir vérifié que la réplication LDAP fonctionne dans la topologie, exécutez d'abord ipa-cert-fix sur un serveur d'autorité de certification, conformément à la procédure ci-dessus.
  2. Avant d'exécuter ipa-cert-fix sur un autre serveur d'autorité de certification, déclenchez les renouvellements de Certmonger pour les certificats partagés via getcert-resubmit (sur l'autre serveur d'autorité de certification), afin d'éviter le renouvellement inutile des certificats partagés.