Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

D.4. レプリカのマスター CA サーバーへのプロモート

複数のレプリカがあるトポロジーでは、そのうちの 1 つがマスター CA として機能し、CA サブシステムの証明書の更新を管理したり、証明書失効リスト (CRL) を生成したりします。デフォルトでは、レプリカを作成する元となる最初のサーバーがマスター CA となります。
マスター CA サーバーをオフラインにする、または使用停止にする場合は、別の CA サーバーをプロモート して、それをマスター CA とします。

D.4.1. 証明書更新を処理するサーバーの変更

どのサーバーが現行の更新マスターであるかを確認するには、以下を実行します。
  • Red Hat Enterprise Linux 7.3 およびそれ以降では、ipa config-show | grep "CA renewal master" コマンドを使用します。
    $ ipa config-show | grep "CA renewal master"
    IPA CA renewal master: server.example.com
  • Red Hat Enterprise Linux 7.2 およびそれ以前では、ldapsearch ユーティリティーを使用します。以下の例では、更新マスターは server.example.com になります。
    $ ldapsearch -H ldap://$HOSTNAME -D 'cn=Directory Manager' -W -b 'cn=masters,cn=ipa,cn=etc,dc=example,dc=com' '(&(cn=CA)(ipaConfigString=caRenewalMaster))' dn
    Enter LDAP Password: 
    # extended LDIF
    #
    # LDAPv3
    # base <cn=masters,cn=ipa,cn=etc,dc=example,dc=com> with scope subtree
    # filter: (&(cn=CA)(ipaConfigString=caRenewalMaster))
    # requesting: dn 
    #
    
    # CA, server.example.com, masters, ipa, etc, example.com
    dn: cn=CA,cn=server.example.com,cn=masters,cn=ipa,cn=etc,dc=example,dc=com
    
    # search result
    search: 2
    result: 0 Success
    
    # numResponses: 2
    # numEntries: 1
別のサーバーが証明書更新を処理するように設定するには、ipa-csreplica-manage ユーティリティーを使用します。
# ipa-csreplica-manage set-renewal-master
このコマンドは自動的に以前の CA を更新マスターからクローンに再設定します。