Show Table of Contents
D.4. レプリカのマスター CA サーバーへのプロモート
複数のレプリカがあるトポロジーでは、そのうちの 1 つがマスター CA として機能し、CA サブシステムの証明書の更新を管理したり、証明書失効リスト (CRL) を生成したりします。デフォルトでは、レプリカを作成する元となる最初のサーバーがマスター CA となります。
マスター CA サーバーをオフラインにする、または使用停止にする場合は、別の CA サーバーをプロモート して、それをマスター CA とします。
- レプリカが CA サブシステムの証明書更新を処理するように設定してください。詳細は、「証明書更新を処理するサーバーの変更」 を参照してください。
- レプリカが CRL を生成するように設定します。「CRL を生成するサーバーの変更」 を参照してください。
D.4.1. 証明書更新を処理するサーバーの変更
どのサーバーが現行の更新マスターであるかを確認するには、以下を実行します。
- Red Hat Enterprise Linux 7.3 およびそれ以降では、
ipa config-show | grep "CA renewal master"コマンドを使用します。$ ipa config-show | grep "CA renewal master" IPA CA renewal master: server.example.com
- Red Hat Enterprise Linux 7.2 およびそれ以前では、
ldapsearchユーティリティーを使用します。以下の例では、更新マスターはserver.example.comになります。$ ldapsearch -H ldap://$HOSTNAME -D 'cn=Directory Manager' -W -b 'cn=masters,cn=ipa,cn=etc,dc=example,dc=com' '(&(cn=CA)(ipaConfigString=caRenewalMaster))' dn Enter LDAP Password: # extended LDIF # # LDAPv3 # base <cn=masters,cn=ipa,cn=etc,dc=example,dc=com> with scope subtree # filter: (&(cn=CA)(ipaConfigString=caRenewalMaster)) # requesting: dn # # CA, server.example.com, masters, ipa, etc, example.com dn: cn=CA,cn=server.example.com,cn=masters,cn=ipa,cn=etc,dc=example,dc=com # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1
別のサーバーが証明書更新を処理するように設定するには、
ipa-csreplica-manage ユーティリティーを使用します。
# ipa-csreplica-manage set-renewal-master
このコマンドは自動的に以前の CA を更新マスターからクローンに再設定します。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.