Show Table of Contents
D.4. レプリカのマスター CA サーバーへのプロモート
複数のレプリカがあるトポロジーでは、そのうちの 1 つがマスター CA として機能し、CA サブシステムの証明書の更新を管理したり、証明書失効リスト (CRL) を生成したりします。デフォルトでは、レプリカを作成する元となる最初のサーバーがマスター CA となります。
マスター CA サーバーをオフラインにする、または使用停止にする場合は、別の CA サーバーをプロモート して、それをマスター CA とします。
- レプリカが CA サブシステムの証明書更新を処理するように設定してください。詳細は、「証明書更新を処理するサーバーの変更」 を参照してください。
- レプリカが CRL を生成するように設定します。「CRL を生成するサーバーの変更」 を参照してください。
D.4.1. 証明書更新を処理するサーバーの変更
証明書の更新を行うサーバーを変更するには、IdM サーバーで以下の手順に従って操作します。
- 現行の更新マスターとなるサーバーを確認するには:
- Red Hat Enterprise Linux 7.3 以降:
$ ipa config-show | grep "CA renewal master" IPA CA renewal master: server.example.com
- Red Hat Enterprise Linux 7.2 以前:
$ ldapsearch -H ldap://$HOSTNAME -D 'cn=Directory Manager' -W -b 'cn=masters,cn=ipa,cn=etc,dc=example,dc=com' '(&(cn=CA)(ipaConfigString=caRenewalMaster))' dn ... # CA, server.example.com, masters, ipa, etc, example.com dn: cn=CA,cn=server.example.com,cn=masters,cn=ipa,cn=etc,dc=example,dc=com ...
両方の例では、server.example.comが現在の更新マスターです。 - 証明書の更新を行う別のサーバーを設定するには:
- Red Hat Enterprise Linux 7.4 以前:
# ipa config-mod --ca-renewal-master-server new_server.example.com
- Red Hat Enterprise Linux 7.3 以前:
# ipa-csreplica-manage set-renewal-master
注記
このコマンドでは、新しい更新マスターとしてコマンドを実行するサーバーを設定します。
これらのコマンドでは、自動的に以前の CA を更新マスターからクローンに再設定します。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.