Show Table of Contents
D.4. レプリカのマスター CA サーバーへのプロモート
複数のレプリカがあるトポロジーでは、そのうちの 1 つがマスター CA として機能し、CA サブシステムの証明書の更新を管理したり、証明書失効リスト (CRL) を生成したりします。デフォルトでは、レプリカを作成する元となる最初のサーバーがマスター CA となります。
マスター CA サーバーをオフラインにする、または使用停止にする場合は、別の CA サーバーをプロモート して、それをマスター CA とします。
- レプリカが CA サブシステムの証明書更新を処理するように設定してください。詳細は、「証明書更新を処理するサーバーの変更」 を参照してください。
- レプリカが CRL を生成するように設定します。「CRL を生成するサーバーの変更」 を参照してください。
D.4.1. 証明書更新を処理するサーバーの変更
証明書の更新を行うサーバーを変更するには、IdM サーバーで以下の手順に従って操作します。
- 現行の更新マスターとなるサーバーを確認するには:
- Red Hat Enterprise Linux 7.3 以降:
$ ipa config-show | grep "CA renewal master" IPA CA renewal master: server.example.com
- Red Hat Enterprise Linux 7.2 以前:
$ ldapsearch -H ldap://$HOSTNAME -D 'cn=Directory Manager' -W -b 'cn=masters,cn=ipa,cn=etc,dc=example,dc=com' '(&(cn=CA)(ipaConfigString=caRenewalMaster))' dn ... # CA, server.example.com, masters, ipa, etc, example.com dn: cn=CA,cn=server.example.com,cn=masters,cn=ipa,cn=etc,dc=example,dc=com ...
両方の例では、server.example.comが現在の更新マスターです。 - 証明書の更新を行う別のサーバーを設定するには:
- Red Hat Enterprise Linux 7.4 以前:
# ipa config-mod --ca-renewal-master-server new_server.example.com
- Red Hat Enterprise Linux 7.3 以前:
# ipa-csreplica-manage set-renewal-master
注記
このコマンドでは、新しい更新マスターとしてコマンドを実行するサーバーを設定します。
これらのコマンドでは、自動的に以前の CA を更新マスターからクローンに再設定します。