10.3. クローン後の CA-KRA コネクター情報の更新
「カスタム設定およびクローン」で説明されているとおり、クローンの作成 後 に行われる場合には、クローンインスタンスで設定情報が更新されません。同様に、クローンに加えられた変更はマスターインスタンスにはコピーされません。
クローン CA の作成後に新しい KRA をインストールまたはクローンした場合、クローン CA には設定に新しい KRA コネクター情報がありません。つまり、クローン CA はアーカイブされたリクエストを KRA に送信しないことを意味します。
新しい KRA が作成またはクローンされるたびに、そのコネクター情報をデプロイメントで クローン 作成されたすべての CA にコピーします。これには、pki ca-kraconnector-add コマンドを使用します。
手動で行う必要がある場合は、次の手順を実行します。
- マスタークローンマシンで、マスター CA の
CS.cfgファイルを開き、新しい KRA コネクターのca.connector.KRA.*行をすべてコピーします。[root@master ~]# vim /var/lib/pki/instance_name/ca/conf/CS.cfg
- クローン CA インスタンスを停止します。以下に例を示します。
[root@clone-ca ~]# systemctl stop pki-tomcatd@instance_name.service
- クローン CA の
CS.cfgファイルを開きます。[root@clone-ca ~]# vim /var/lib/pki/instance_name/ca/conf/CS.cfg
- 新しい KRA インスタンスまたはクローンのコネクター情報をコピーします。
ca.connector.KRA.enable=true ca.connector.KRA.host=server-kra.example.com ca.connector.KRA.local=false ca.connector.KRA.nickName=subsystemCert cert-pki-ca ca.connector.KRA.port=10444 ca.connector.KRA.timeout=30 ca.connector.KRA.transportCert=MIIDbD...ZR0Y2zA== ca.connector.KRA.uri=/kra/agent/kra/connector
- クローン CA を起動します。
[root@clone-ca ~]# systemctl start pki-tomcatd@instance_name.service
