Red Hat Training
A Red Hat training course is available for RHEL 8
67.3. IdM で外部から自己署名証明書への切り替え
この手順は、外部署名から、Identity Management (IdM) 認証局 (CA) の自己署名証明書に切り替えます。自己署名の CA の場合、CA 証明書の更新は自動的に管理されます。システム管理者は、外部認証局に証明書署名リクエスト (CSR) を提出する必要はありません。
外部署名から自己署名の CA へ切り替える場合は、CA 証明書を置き換えます。以前の CA が署名する証明書は有効のままで、今でも使用されています。たとえば、LDAP 証明書の証明書チェーンは、自己署名の CA に移動した後も変更されません。
external_CAcertificate >IdM CAcertificate >LDAPcertificate
前提条件
-
IdM CA 更新サーバーおよびすべての IdM クライアントとサーバーへの
rootアクセス権がある。
手順
IdM CA 更新サーバーで、CA 証明書を自己署名として更新します。
# ipa-cacert-manage renew --self-signed Renewing CA certificate, please wait CA certificate successfully renewed The ipa-cacert-manage command was successfulrootとして、残りのすべての IdM サーバーとクライアントにSSHで接続します。以下に例を示します。# ssh root@idmclient01.idm.example.comIdM クライアントで、サーバーからの証明書を使用して、ローカルの IdM 証明書データベースを更新します。
[idmclient01 ~]# ipa-certupdate Systemwide CA database updated. Systemwide CA database updated. The ipa-certupdate command was successful必要に応じて、更新が成功したかどうかを確認して、新しい CA 証明書を
/etc/ipa/ca.crtファイルに追加します。[idmclient01 ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout [...] Certificate: Data: Version: 3 (0x2) Serial Number: 39 (0x27) Signature Algorithm: sha256WithRSAEncryption Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority Validity Not Before: Jul 1 16:32:45 2019 GMT Not After : Jul 1 16:32:45 2039 GMT Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority [...]この出力は、新規 CA 証明書が古い CA 証明書と共にリストされているため、更新が正常に行われたことを示しています。