Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

26.2.3. IdM がオフライン時に期限切れのシステム証明書の更新

システム証明書の有効期限が切れると、IdM が起動できません。Red Hat Enterprise Linux 7.7 以降の IdM は、IdM がオフライン時にシステム証明書の更新に対応します。
以下の手順では、IdM サーバーで期限切れのシステム証明書をすべて更新する方法を説明します。
  1. IdM ドメインの CA の場合:
    1. ipa-cert-fix ユーティリティーを起動して、システムと期限切れの証明書を一覧表示します。
      # ipa-cert-fix
      ...
      The following certificates will be renewed:
      
      Dogtag sslserver certificate:
        Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
        Serial:  13
        Expires: 2019-05-12 05:55:47
      ...
      Enter "yes" to proceed:
    2. 更新プロセスを開始するには、yes を入力します。
      Enter "yes" to proceed: yes
      Proceeding.
      Renewed Dogtag sslserver certificate:
        Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
        Serial:  268369925
        Expires: 2021-08-14 02:19:33
      ...
      
      Becoming renewal master.
      The ipa-cert-fix command was successful
      ipa-cert-fix が期限切れの証明書をすべて更新する前に、最大 1 分かかる場合があります。
      注記
      更新マスターではない CA ホストで ipa-cert-fix ユーティリティーを実行し、ユーティリティーが共有証明書を更新する場合、このホストは自動的にドメイン内の新しい更新マスターになります。不整合を避けるために、ドメインには常に更新マスターを 1 つだけ設定する必要があります。
    3. 必要に応じて、すべてのサービスが実行されていることを確認します。
      # ipactl status
      Directory Service: RUNNING
      krb5kdc Service: RUNNING
      kadmin Service: RUNNING
      httpd Service: RUNNING
      ipa-custodia Service: RUNNING
      pki-tomcatd Service: RUNNING
      ipa-otpd Service: RUNNING
      ipa: INFO: The ipactl command was successful
  2. IdM ドメインの他のサーバーでは、以下を行います。
    1. --force パラメーターを使用して IdM を再起動します。
      # ipactl restart --force
      --force パラメーターを使用すると、ipactl ユーティリティーは各起動の失敗を無視します。たとえば、サーバーが CA であっても、pki -tomcat サービスが起動に失敗します。--force パラメーターを使用しているため、これが予想され、無視されます。
    2. 再起動後に、certmonger サービスが証明書を更新していることを確認します。
      # getcert list | egrep '^Request|status:|subject:'
      Request ID '20190522120745':
              status: MONITORING
              subject: CN=IPA RA,O=EXAMPLE.COM 201905222205
      Request ID '20190522120834':
              status: MONITORING
              subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205
      ...
      certmonger がレプリカ上で共有証明書を更新する前に時間がかかる場合があることに注意してください。
    3. サーバーも CA の場合、上記のコマンドは、pki-tomcat サービスが使用する証明書の CA_UNREACHABLE を報告します。
      Request ID '20190522120835':
              status: CA_UNREACHABLE
              subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
      ...
      この証明書を更新するには、ipa-cert-fix ユーティリティーを使用します。
      # ipa-cert-fix
      Dogtag sslserver certificate:
        Subject: CN=ca2.example.com,O=EXAMPLE.COM
        Serial:  3
        Expires: 2019-05-11 12:07:11
      
      Enter "yes" to proceed: yes
      Proceeding.
      Renewed Dogtag sslserver certificate:
        Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
        Serial:  15
        Expires: 2019-08-14 04:25:05
      
      The ipa-cert-fix command was successful