Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

26.2. 証明書の更新

詳細は以下を参照してください。

26.2.1. 証明書の更新

certmonger サービスは、証明書の有効期限の前に、以下の証明書 28 日を自動的に更新します。
  • IdM CA がルート CA として発行する CA 証明書
  • 内部 IdM サービスが使用する統合 IdM CA が発行するサブシステムおよびサーバー証明書
サブ CA CA 証明書を自動的に更新するには、certmonger 追跡一覧に一覧表示する必要があります。追跡リストを更新するには、以下を実行します。
[root@ipaserver ~]# ipa-certupdate
trying https://idmserver.idm.example.com/ipa/json
Forwarding 'schema' to json server 'https://idmserver.idm.example.com/ipa/json'
trying https://idmserver.idm.example.com/ipa/json
Forwarding 'ca_is_enabled' to json server 'https://idmserver.idm.example.com/ipa/json'
Forwarding 'ca_find/1' to json server 'https://idmserver.idm.example.com/ipa/json'
Systemwide CA database updated.
Systemwide CA database updated.
The ipa-certupdate command was successful
注記
外部 CA をルート CA として使用している場合は、「CA 証明書の更新」 の説明に従って、証明書を手動で更新する必要があります。certmonger サービスは、外部 CA によって署名された証明書を自動的に更新することはできません。
certmonger が証明書の有効期限を監視する方法の詳細は、『システムレベルの 『認証ガイド』の「 certmonger で 証明書の追跡」を参照してください』。
自動更新が想定どおりに機能することを確認するには、certmonger のログメッセージを /var/log/messages ファイルで確認します。
  • 証明書を更新したら、certmonger は以下のようなメッセージを記録し、更新操作が成功したか、または失敗していることを示します。
    Certificate named "NSS Certificate DB" in token "auditSigningCert cert-pki-ca" in database "/var/lib/pki-ca/alias" renew success
  • 証明書の有効期限が近づくと、certmonger は以下のメッセージをログに記録します。
    certmonger: Certificate named "NSS Certificate DB" in token "auditSigningCert cert-pki-ca" in database "/var/lib/pki-ca/alias" will not be valid after 20160204065136.