Red Hat Training
A Red Hat training course is available for RHEL 8
第70章 CA 更新サーバーと CRL パブリッシャーのロールを実行するサーバーの使用の停止
認証局 (CA) 更新サーバーロールおよび 証明書失効リスト (CRL) パブリッシャーロールの両方を実行しているサーバーが 1 台あるとします。このサーバーをオフラインにするか、使用を停止する必要がある場合は、別の CA サーバーを選択して、このロールを実行するように設定します。
この例では、CA 更新サーバーと CRL パブリッシャーのロールに対応しているホスト server.idm.example.com の使用を停止する必要があります。この手順では、CA 更新サーバーロールおよび CRL パブリッシャーロールをホスト replica.idm.example.com に転送し、IdM 環境から server.idm.example.com を削除します。
CA 更新サーバーと CRL パブリッシャーの両方のロールを実行するために同じサーバーを設定する必要はありません。
前提条件
- IdM 管理者認証情報がある。
- 使用を停止しているサーバーの root パスワードがある。
- IdM 環境に、少なくとも 2 つの CA レプリカがある。
手順
IdM 管理者認証情報を取得します。
[user@server ~]$ kinit admin Password for admin@IDM.EXAMPLE.COM:
(オプション) どのサーバーが CA 更新サーバーおよび CRL パブリッシャーのロールを実行しているかわからない場合は、以下を実行します。
現在の CA 更新サーバーを表示します。次のコマンドは、任意の IdM サーバーから実行できます。
[user@server ~]$ ipa config-show | grep 'CA renewal' IPA CA renewal master: server.idm.example.com
ホストが現在の CRL パブリッシャーであるかどうかをテストします。
[user@server ~]$ ipa-crlgen-manage status CRL generation: enabled Last CRL update: 2019-10-31 12:00:00 Last CRL Number: 6 The ipa-crlgen-manage command was successfulCRL を生成しない CA サーバーは、
CRL generation: disabledを表示します。[user@replica ~]$ ipa-crlgen-manage status CRL generation: disabled The ipa-crlgen-manage command was successfulCRL パブリッシャーサーバーが見つかるまで、CA サーバーでこのコマンドを入力し続けます。
このロールに対応するために昇格できるその他の CA サーバーをすべて表示します。この環境には 2 台の CA サーバーがあります。
[user@server ~]$ ipa server-role-find --role 'CA server' ---------------------- 2 server roles matched ---------------------- Server name: server.idm.example.com Role name: CA server Role status: enabled Server name: replica.idm.example.com Role name: CA server Role status: enabled ---------------------------- Number of entries returned 2 ----------------------------
replica.idm.example.comを CA 更新サーバーとして設定します。[user@server ~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com
server.idm.example.comで、以下を実行します。証明書更新タスクを無効にします。
[root@server ~]# pki-server ca-config-set ca.certStatusUpdateInterval 0
IdM サービスを再起動します。
[user@server ~]$ ipactl restart
replica.idm.example.comで、以下を実行します。証明書更新タスクを有効にします。
[root@server ~]# pki-server ca-config-unset ca.certStatusUpdateInterval
IdM サービスを再起動します。
[user@replica ~]$ ipactl restart
server.idm.example.comで、CRL の生成を中止します。[user@server ~]$ ipa-crlgen-manage disable Stopping pki-tomcatd Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg Starting pki-tomcatd Editing /etc/httpd/conf.d/ipa-pki-proxy.conf Restarting httpd CRL generation disabled on the local host. Please make sure to configure CRL generation on another master with ipa-crlgen-manage enable. The ipa-crlgen-manage command was successful
replica.idm.example.comで、CRL の生成を開始します。[user@replica ~]$ ipa-crlgen-manage enable Stopping pki-tomcatd Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg Starting pki-tomcatd Editing /etc/httpd/conf.d/ipa-pki-proxy.conf Restarting httpd Forcing CRL update CRL generation enabled on the local host. Please make sure to have only a single CRL generation master. The ipa-crlgen-manage command was successful
server.idm.example.comで IdM サービスを停止します。[user@server ~]$ ipactl stop
replica.idm.example.comで、IdM 環境からserver.idm.example.comを削除します。[user@replica ~]$ ipa server-del server.idm.example.com
server.idm.example.comで、ipa-server-install --uninstallコマンドを root アカウントとして使用します。[root@server ~]# ipa-server-install --uninstall ... Are you sure you want to continue with the uninstall procedure? [no]: yes
検証手順
現在の CA 更新サーバーを表示します。
[user@replica ~]$ ipa config-show | grep 'CA renewal' IPA CA renewal master: replica.idm.example.comreplica.idm.example.comホストが CRL を生成していることを確認します。[user@replica ~]$ ipa-crlgen-manage status CRL generation: enabled Last CRL update: 2019-10-31 12:10:00 Last CRL Number: 7 The ipa-crlgen-manage command was successful