Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.5.2. レプリカのマスター CA サーバーへのプロモート

注記
本セクションでは、ドメインレベル 1 で CA Renewal Master を変更する方法を説明します (7章ドメインレベルの表示と引き上げを参照)。ドメインレベル 0 で CA Renewal Master を変更する方法は、「レプリカのマスター CA サーバーへのプロモート」 を参照してください。
IdM デプロイメントで組み込み認証局 (CA) を使用する場合は、IdM CA サーバーの 1 つがマスター CA として機能します。これは、CA サブシステム証明書の更新を管理し、証明書失効リスト (CRL) を生成します。デフォルトでは、マスター CA は、システム管理者が ipa-server-install コマンドまたは ipa-ca-install コマンドを使用して CA ロールをインストールした最初のサーバーです。
マスター CA サーバーをオフラインに移行または廃止する予定の場合には、別の CA サーバーをプロモートして、新しい CA 更新マスターとして置き換えます。
  1. CA サブシステム証明書の更新を処理するようにレプリカを設定します。
  2. CRL を生成するようにレプリカを設定します。「CRL を生成するサーバーの変更」を参照してください。
  3. 以前のマスター CA サーバーの使用を終了する前に、新規マスターが適切に機能していることを確認します。「新規マスター CA サーバーが正しく設定されたことの確認」を参照してください。

6.5.2.1. 現在の CA 更新マスターの変更

Web UI: 現在の CA 更新マスターの変更

  1. IPA ServerConfiguration を選択します。
  2. IPA CA Renewal Master フィールドで、新しい CA Renewal Master を選択します。

コマンドライン:現在の CA 更新マスターの変更

ipa config-mod --ca-renewal-master-server コマンドを使用します。
$ ipa config-mod --ca-renewal-master-server new_ca_renewal_master.example.com
  ...
  IPA masters: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA CA servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA NTP servers: old_ca_renewal_master.example.com, new_ca_renewal_master.example.com
  IPA CA renewal master: new_ca_renewal_master.example.com
出力で更新が成功したことを確認します。