Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
D.4. マスター CA サーバーへのレプリカのプロモート
IdM デプロイメントで組み込み認証局(CA)を使用する場合は、IdM CA サーバーの 1 つがマスター CA として機能します。これは CA サブシステム証明書の更新を管理し、証明書失効リスト(CRL)を生成します。デフォルトでは、マスター CA は、ipa-server-install コマンドまたは ipa-ca-install コマンドを使用して、システム管理者が CA ロールをインストールする最初のサーバーです。
マスター CA サーバーをオフラインにするか、または使用を停止する場合は、レプリカをマスター CA として作成した場所をプロモートします。
- レプリカが CA サブシステム証明書の更新を処理するように設定されていることを確認します。を参照してください 「証明書更新を処理するサーバーの変更」。
- レプリカを設定して CRL を生成するように設定します。を参照してください 「CRL を生成するサーバーの変更」。
D.4.1. 証明書更新を処理するサーバーの変更
証明書の更新を処理するサーバーを変更するには、IdM サーバーで以下の手順を使用します。
- 現在の更新マスターであるサーバーを判別します。
- Red Hat Enterprise Linux 7.3 以降の場合:
$ ipa config-show | grep "CA renewal master" IPA CA renewal master: server.example.com
- Red Hat Enterprise Linux 7.2 以前:
$ ldapsearch -H ldap://$HOSTNAME -D 'cn=Directory Manager' -W -b 'cn=masters,cn=ipa,cn=etc,dc=example,dc=com' '(&(cn=CA)(ipaConfigString=caRenewalMaster))' dn ... # CA, server.example.com, masters, ipa, etc, example.com dn: cn=CA,cn=server.example.com,cn=masters,cn=ipa,cn=etc,dc=example,dc=com ...
いずれの場合も、server.example.comは現在の更新マスターです。 - 証明書の更新を処理するように別のサーバーを設定するには、以下を実行します。
- Red Hat Enterprise Linux 7.4 以降の場合:
# ipa config-mod --ca-renewal-master-server new_server.example.com
- Red Hat Enterprise Linux 7.3 以前の場合:
# ipa-csreplica-manage set-renewal-master
注記このコマンドは、コマンドを実行するサーバーを新規更新マスターとして設定します。
このコマンドは、以前の CA を更新マスターから自動的に再設定してクローンします。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。