Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
26.2.3. IdM がオフライン時に期限切れのシステム証明書の更新
システム証明書の期限が切れると、IdM が起動できません。IdM は、
ipa-cert-fix
ツールを使用して、このような状況であってもシステム証明書の更新に対応します。
前提条件
- ホストで ipactl start --ignore-service-failures コマンドを入力して、LDAP サービスが実行中であることを確認する。
手順26.1 IdM サーバーで期限切れのシステム証明書の更新
- IdM ドメインの CA で、以下を行います。
- Ipa-cert-fix ユーティリティーを起動してシステムを調整し、期限切れの証明書を一覧表示します。
# ipa-cert-fix ... The following certificates will be renewed: Dogtag sslserver certificate: Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205 Serial: 13 Expires: 2019-05-12 05:55:47 ... Enter "yes" to proceed:
- 更新プロセスを開始するには、yes を入力します。
Enter "yes" to proceed: yes Proceeding. Renewed Dogtag sslserver certificate: Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205 Serial: 268369925 Expires: 2021-08-14 02:19:33 ... Becoming renewal master. The ipa-cert-fix command was successful
ipa-cert-fix
が期限切れの証明書をすべて更新する前に、最大 1 分かかる場合があります。注記更新マスターではない CA ホストで ipa-cert-fix ユーティリティーを実行し、ユーティリティーが共有証明書を更新すると、このホストはドメインの新しい更新マスターになります。不整合を避けるために、ドメインには常に更新マスターを 1 つだけ設定する必要があります。 - 必要に応じて、すべてのサービスが実行中であることを確認します。
# ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING ipa: INFO: The ipactl command was successful
- IdM ドメインの他のサーバーの場合:
--force
パラメーターを使用して IdM を再起動します。# ipactl restart --force
--force
パラメーターを使用すると、ipactl
ユーティリティーは個々の起動失敗を無視します。たとえば、サーバーが CA もあると、pki-tomcat
サービスが起動に失敗します。--force
パラメーターを使用しているため、これが予想され、無視されます。- 再起動後に、
certmonger
サービスが証明書を更新することを確認します。# getcert list | egrep '^Request|status:|subject:' Request ID '20190522120745': status: MONITORING subject: CN=IPA RA,O=EXAMPLE.COM 201905222205 Request ID '20190522120834': status: MONITORING subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205 ...
certmonger
がレプリカ上で共有証明書を更新する前に時間がかかる場合があることに注意してください。 - サーバーも CA の場合、上記のコマンドは、
pki-tomcat
サービスが使用する証明書の CA_UNREACHABLE を報告します。Request ID '20190522120835': status: CA_UNREACHABLE subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205 ...
この証明書を更新するには、ipa-cert-fix
ユーティリティーを使用します。# ipa-cert-fix Dogtag sslserver certificate: Subject: CN=ca2.example.com,O=EXAMPLE.COM Serial: 3 Expires: 2019-05-11 12:07:11 Enter "yes" to proceed: yes Proceeding. Renewed Dogtag sslserver certificate: Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205 Serial: 15 Expires: 2019-08-14 04:25:05 The ipa-cert-fix command was successful