Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

26.2.2.2. 外部署名の IdM CA 証明書の手動更新

  1. ipa-cacert-manage renew --external-ca コマンドを実行します。
  2. このコマンドは、/var/lib/ipa/ca.crt CSR ファイルを作成します。CSR を外部 CA に送信して、更新した CA 証明書を取得します。
  3. ipa-cacert-manage renew 再度実行し、--external-cert-file オプションを使用して更新された CA 証明書と外部 CA 証明書チェーンファイルを指定します。以下に例を示します。
    # ipa-cacert-manage renew --external-cert-file=/tmp/servercert20110601.pem --external-cert-file=/tmp/cacert.pem
  4. 更新された CA 証明書と外部 CA 証明書チェーンが LDAP 証明書ストアと、/etc/pki/pki-tomcat/alias/ NSS データベースに存在するようになりました。
  5. すべてのサーバーとクライアントで ipa-certupdate ユーティリティーを実行し、LDAP から新しい証明書に関する情報で更新します。すべてのサーバーとクライアントで ipa-certupdate を実行する必要があります。
    重要
    証明書を手動でインストールした後は、常に ipa-certupdate を実行します。これがない場合、証明書は他のマシンに配布されません。
更新した証明書が正しくインストールされていることを確認するには、certutil ユーティリティーを使用して、データベース内の証明書を表示します。以下に例を示します。
# certutil -L -d /etc/pki/pki-tomcat/alias/