Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

61장. CA 갱신 서버 및 CRL 게시자 역할을 수행하는 서버 삭제

하나의 서버가 CA(인증 기관) 갱신 서버 역할 및 CRL(인증서 폐기 목록) 게시자 역할을 모두 수행할 수 있습니다. 이 서버를 오프라인으로 사용하거나 해제해야 하는 경우 다른 CA 서버를 선택하고 해당 역할을 수행하도록 구성합니다.

이 예에서는 CA 갱신 서버 및 CRL 게시자 역할을 이행하는 호스트 server.idm.example.com 을 해제해야 합니다. 이 절차에서는 CA 갱신 서버 및 CRL 게시자 역할을 호스트 replica.idm.example.com 으로 전송하고 IdM 환경에서 server.idm.example.com 을 제거합니다.

참고

CA 갱신 서버와 CRL 게시자 역할을 모두 수행하도록 동일한 서버를 구성할 필요가 없습니다.

사전 요구 사항

  • IdM 관리자 자격 증명이 있습니다.
  • 해제할 서버의 루트 암호가 있습니다.
  • IdM 환경에 CA 복제본이 두 개 이상 있습니다.

절차

  1. IdM 관리자 인증 정보를 가져옵니다.

    [user@server ~]$ kinit admin
    Password for admin@IDM.EXAMPLE.COM:
  2. (선택 사항) 어떤 서버가 CA 갱신 서버 및 CRL 게시자 역할을 수행하는지 확실하지 않은 경우 다음을 수행하십시오.

    1. 현재 CA 갱신 서버를 표시합니다. IdM 서버에서 다음 명령을 실행할 수 있습니다.

      [user@server ~]$ ipa config-show | grep 'CA renewal'
        IPA CA renewal master: server.idm.example.com
    2. 호스트가 현재 CRL 게시자인지 테스트합니다.

      [user@server ~]$ ipa-crlgen-manage status
      CRL generation: enabled
      Last CRL update: 2019-10-31 12:00:00
      Last CRL Number: 6
      The ipa-crlgen-manage command was successful

      CRL을 생성하지 않는 CA 서버는 CRL generation: disabled 를 표시합니다.

      [user@replica ~]$ ipa-crlgen-manage status
      CRL generation: disabled
      The ipa-crlgen-manage command was successful

      CRL 게시자 서버를 찾을 때까지 CA 서버에서 이 명령을 계속 입력합니다.

    3. 이러한 역할을 수행하기 위해 승격할 수 있는 다른 모든 CA 서버를 표시합니다. 이 환경에는 두 개의 CA 서버가 있습니다.

      [user@server ~]$ ipa server-role-find --role 'CA server'
      ----------------------
      2 server roles matched
      ----------------------
        Server name: server.idm.example.com
        Role name: CA server
        Role status: enabled
        Server name: replica.idm.example.com
        Role name: CA server
        Role status: enabled
      ----------------------------
      Number of entries returned 2
      ----------------------------
  3. replica.idm.example.com 을 CA 갱신 서버로 설정합니다.

    [user@server ~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com
  4. server.idm.example.com 에서 :

    1. 인증서 업데이트 작업을 비활성화합니다.

      [root@server ~]# pki-server ca-config-set ca.certStatusUpdateInterval 0
    2. IdM 서비스를 다시 시작하십시오.

      [user@server ~]$ ipactl restart
  5. replica.idm.example.com 에서 :

    1. 인증서 업데이트 작업을 활성화합니다.

      [root@server ~]# pki-server ca-config-unset ca.certStatusUpdateInterval
    2. IdM 서비스를 다시 시작하십시오.

      [user@replica ~]$ ipactl restart
  6. server.idm.example.com 에서 CRL 생성을 중지합니다.

    [user@server ~]$ ipa-crlgen-manage disable
    Stopping pki-tomcatd
    Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
    Starting pki-tomcatd
    Editing /etc/httpd/conf.d/ipa-pki-proxy.conf
    Restarting httpd
    CRL generation disabled on the local host. Please make sure to configure CRL generation on another master with ipa-crlgen-manage enable.
    The ipa-crlgen-manage command was successful
  7. replica.idm.example.com 에서 CRL 생성을 시작합니다.

    [user@replica ~]$ ipa-crlgen-manage enable
    Stopping pki-tomcatd
    Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
    Starting pki-tomcatd
    Editing /etc/httpd/conf.d/ipa-pki-proxy.conf
    Restarting httpd
    Forcing CRL update
    CRL generation enabled on the local host. Please make sure to have only a single CRL generation master.
    The ipa-crlgen-manage command was successful
  8. server.idm.example.com 에서 IdM 서비스를 중지하십시오:

    [user@server ~]$ ipactl stop
  9. replica.idm.example.com 에서 IdM 환경에서 server.idm.example.com 을 삭제합니다.

    [user@replica ~]$ ipa server-del server.idm.example.com
  10. server.idm.example.com 에서 ipa-server-install --uninstall 명령을 root 계정으로 사용합니다.

    [root@server ~]# ipa-server-install --uninstall
    ...
    Are you sure you want to continue with the uninstall procedure? [no]: yes

검증 단계

  • 현재 CA 갱신 서버를 표시합니다.

    [user@replica ~]$ ipa config-show | grep 'CA renewal'
      IPA CA renewal master: replica.idm.example.com
  • replica.idm.example.com 호스트에서 CRL을 생성하고 있는지 확인합니다.

    [user@replica ~]$ ipa-crlgen-manage status
    CRL generation: enabled
    Last CRL update: 2019-10-31 12:10:00
    Last CRL Number: 7
    The ipa-crlgen-manage command was successful