Menu Close
Settings Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

26.2. 証明書の更新

詳細は、以下を参照してください。

26.2.1. 証明書の自動更新

Certmonger サービスは、有効期限が切れる前に以下の証明書の 28 日を自動的に更新します。
  • IdM CA がルート CA として発行する CA 証明書
  • 内部 IdM サービスが使用する統合 IdM CA が発行するサブシステム証明書およびサーバー証明書
サブ CA の CA 証明書を自動的に更新するには、certmonger 追跡一覧に記載する必要があります。追跡リストを更新するには、以下を実行します。 
[root@ipaserver ~]# ipa-certupdate
trying https://idmserver.idm.example.com/ipa/json
Forwarding 'schema' to json server 'https://idmserver.idm.example.com/ipa/json'
trying https://idmserver.idm.example.com/ipa/json
Forwarding 'ca_is_enabled' to json server 'https://idmserver.idm.example.com/ipa/json'
Forwarding 'ca_find/1' to json server 'https://idmserver.idm.example.com/ipa/json'
Systemwide CA database updated.
Systemwide CA database updated.
The ipa-certupdate command was successful
注記
外部 CA をルート CA として使用している場合は、「CA 証明書の手動更新」 の説明に従って証明書を手動で更新する必要があります。Certmonger サービスは、外部 CA により署名された証明書を自動的に更新することはできません。
Certmonger が 証明書の有効期限 を監視する方法の詳細は、『certmonger を使った証明書の追跡』のシステムレベルの認証ガイド を参照してください。
自動更新が想定どおりに機能していることを確認するには、/var/log/messages ファイルで certmonger のログメッセージを確認します。
  • 証明書の更新後、certmonger は以下のようなメッセージを記録し、更新操作が成功したか、または失敗したことを示します。 
    Certificate named "NSS Certificate DB" in token "auditSigningCert cert-pki-ca" in database "/var/lib/pki-ca/alias" renew success
  • 証明書が有効期限に近づくと、certmonger は次のメッセージをログに記録します。 
    certmonger: Certificate named "NSS Certificate DB" in token "auditSigningCert cert-pki-ca" in database "/var/lib/pki-ca/alias" will not be valid after 20160204065136.