Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

62.7. certmonger에서 CA 복제본에서 IdM 인증서 추적을 다시 시작

다음 절차에서는 인증서 추적이 중단된 후 통합 인증 기관을 사용하여 IdM 배포에 중요한 IdM(Identity Management) 시스템 인증서 추적을 다시 시작하는 방법을 보여줍니다. 시스템 인증서 갱신 중에 IdM 호스트가 IdM에서 등록되지 않았거나 복제 토폴로지가 제대로 작동하지 않아 중단되었을 수 있습니다. 이 절차에서는 certmonger, 즉 HTTP,LDAP, PKINIT 인증서라는 IdM 서비스 인증서 추적을 다시 시작하는 방법도 표시합니다.

사전 요구 사항

  • 시스템 인증서 추적을 다시 시작할 호스트는 IdM CA 갱신 서버가 아닌 IdM CA(인증 기관)이기도 합니다.

절차

  1. 하위 시스템 CA 인증서에 대한 PIN을 가져옵니다.

    # grep 'internal=' /var/lib/pki/pki-tomcat/conf/password.conf
  2. 하위 시스템 CA 인증서에 추적을 추가하고 아래 명령에서 [내부 PIN] 을 이전 단계에서 얻은 PIN으로 바꿉니다.

    # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "caSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "caSigningCert cert-pki-ca"'
    
    # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "auditSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "auditSigningCert cert-pki-ca"'
    
    # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "ocspSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "ocspSigningCert cert-pki-ca"'
    
    # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "subsystemCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "subsystemCert cert-pki-ca"'
    
    # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "Server-Cert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "Server-Cert cert-pki-ca"'
  3. 나머지 IdM 인증서, HTTP,LDAP,IPA 갱신 에이전트PKINIT 인증서에 대한 추적을 추가합니다.

    # getcert start-tracking -f /var/lib/ipa/certs/httpd.crt -k /var/lib/ipa/private/httpd.key -p /var/lib/ipa/passwds/idm.example.com-443-RSA -c IPA -C /usr/libexec/ipa/certmonger/restart_httpd
    
    # getcert start-tracking -d /etc/dirsrv/slapd-IDM-EXAMPLE-COM -n "Server-Cert" -c IPA -p /etc/dirsrv/slapd-IDM-EXAMPLE-COM/pwdfile.txt -C '/usr/libexec/ipa/certmonger/restart_dirsrv "IDM-EXAMPLE-COM"'
    
    # getcert start-tracking -f /var/lib/ipa/ra-agent.pem -k /var/lib/ipa/ra-agent.key -c dogtag-ipa-ca-renew-agent -B /usr/libexec/ipa/certmonger/renew_ra_cert_pre -C /usr/libexec/ipa/certmonger/renew_ra_cert
    
    # getcert start-tracking -f /var/kerberos/krb5kdc/kdc.crt -k /var/kerberos/krb5kdc/kdc.key -c dogtag-ipa-ca-renew-agent -B /usr/libexec/ipa/certmonger/renew_ra_cert_pre -C /usr/libexec/ipa/certmonger/renew_kdc_cert
  4. certmonger 를 다시 시작하십시오.

    # systemctl restart certmonger
  5. certmonger 가 시작된 후 1분간 기다린 다음 새 인증서의 상태를 확인합니다.

    # getcert list

추가 리소스

  • IdM 시스템 인증서가 모두 만료된 경우 이 KCS(지식 센터 지원) 솔루션에 설명된 절차를 수행하여 CA 갱신 서버 및 CRL 게시자 서버인 IdM CA 서버에서 IdM 시스템 인증서를 수동으로 갱신합니다. 그런 다음 이 KCS 솔루션에 설명된 절차를 수행하여 토폴로지의 다른 모든 CA 서버에서 IdM 시스템 인증서를 수동으로 갱신합니다.