Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.5.2. レプリカのマスター CA サーバーへのプロモート

注記
本セクションでは、ドメインレベル 1 で CA Renewal Master を変更する方法を説明します (7章ドメインレベルの表示と引き上げを参照)。ドメインレベル 0 で CA Renewal Master を変更する方法は、「レプリカのマスター CA サーバーへのプロモート」 を参照してください。
IdM デプロイメントで組み込み認証局 (CA) を使用する場合は、IdM CA サーバーの 1 つがマスター CA として機能します。これは、CA サブシステム証明書の更新を管理し、証明書失効リスト (CRL) を生成します。デフォルトでは、マスター CA は、システム管理者が ipa-server-install コマンドまたは ipa-ca-install コマンドを使用して CA ロールをインストールした最初のサーバーです。
マスター CA サーバーをオフラインにするか、停止することを計画する場合は、別の CA サーバーをプロモートして、新しい CA Renewal Master として実行します。
  1. CA サブシステム証明書の更新を処理するようにレプリカを設定します。
  2. CRL を生成するようにレプリカを設定します。「CRL を生成するサーバーの変更」を参照してください。
  3. 以前のマスター CA サーバーの使用を停止する前に、新規マスターが適切に機能していることを確認します。「新規マスター CA サーバーが正常に設定されていることの確認」を参照してください。

6.5.2.1. 現在の CA Renewal Master の変更

Web UI: 現在の CA Renewal Master の変更

  1. IPA ServerConfiguration を選択します。
  2. IPA CA Renewal Master フィールドで、新しい CA Renewal Master を選択します。

コマンドライン: 現在の CA Renewal Master の変更

ipa config-mod --ca-renewal-master-server コマンドを使用します。
$ ipa config-mod --ca-renewal-master-server new_ca_renewal_master.example.com
  ...
  IPA masters: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA CA servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA NTP servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA CA renewal master: new_ca_renewal_master.example.com
出力で更新が成功したことを確認します。