D.4. レプリカのマスター CA サーバーへのプロモート

IdM デプロイメントが埋め込み認証局 (CA) を使用する場合は、IdM CA サーバーの 1 つがマスター CA として機能します。マスター CA は、CA サブシステム証明書の更新を管理し、証明書失効リスト (CRL) を生成します。デフォルトでは、マスター CA は、システム管理者が ipa-server-install コマンドまたは ipa-ca-install コマンドを使用して CA ロールをインストールした最初のサーバーになります。
マスター CA サーバーをオフラインにする、または使用停止にする場合は、別の CA サーバーをプロモート して、それをマスター CA とします。

D.4.1. 証明書更新を処理するサーバーの変更

証明書の更新を行うサーバーを変更するには、IdM サーバーで以下の手順に従って操作します。
  1. 現行の更新マスターとなるサーバーを確認するには:
    • Red Hat Enterprise Linux 7.3 以降:
      $ ipa config-show | grep "CA renewal master"
      IPA CA renewal master: server.example.com
    • Red Hat Enterprise Linux 7.2 以前:
      $ ldapsearch -H ldap://$HOSTNAME -D 'cn=Directory Manager' -W -b 'cn=masters,cn=ipa,cn=etc,dc=example,dc=com' '(&(cn=CA)(ipaConfigString=caRenewalMaster))' dn
      ...
      # CA, server.example.com, masters, ipa, etc, example.com
      dn: cn=CA,cn=server.example.com,cn=masters,cn=ipa,cn=etc,dc=example,dc=com
      ...
    両方の例では、server.example.com が現在の更新マスターです。
  2. 証明書の更新を行う別のサーバーを設定するには:
    • Red Hat Enterprise Linux 7.4 以前:
      # ipa config-mod --ca-renewal-master-server new_server.example.com
    • Red Hat Enterprise Linux 7.3 以前:
      # ipa-csreplica-manage set-renewal-master

      注記

      このコマンドでは、新しい更新マスターとしてコマンドを実行するサーバーを設定します。
    これらのコマンドでは、自動的に以前の CA を更新マスターからクローンに再設定します。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。