72장. IdM 복제본에서 웹 서버 및 LDAP 서버 인증서가 아직 만료되지 않은 경우 교체

절차

1. ca_certificate_chain_file.crt 에 포함된 인증서를 IdM에 추가 CA 인증서로 설치합니다.

   # ipa-cacert-manage install

2. ca_certicate_chain_file.crt의 인증서로 로컬 IdM 인증서 데이터베이스를 업데이트하십시오.

   # ipa-certupdate

3. OpenSSL 유틸리티를 사용하여 개인 키 및 CSR(인증서 서명 요청)을 생성합니다.

   $ openssl req -new -newkey rsa:4096 -days 365 -nodes -keyout new.key -out new.csr -addext "subjectAltName = DNS:server.idm.example.com" -subj '/CN=server.idm.example.com,O=IDM.EXAMPLE.COM'

   CSR을 외부 CA에 제출합니다. 프로세스는 외부 CA로 사용할 서비스에 따라 다릅니다. CA가 인증서에 서명하고 나면 인증서를 IdM 서버로 가져옵니다.

4. IdM 서버에서 Apache 웹 서버의 기존 개인 키와 인증서를 새 키 및 새로 서명한 인증서로 교체합니다.

   # ipa-server-certinstall -w --pin=password new.key new.crt

   위의 명령에서 다음을 수행합니다.

   • w 옵션은 웹 서버에 인증서를 설치 중임을 지정합니다.
   • pin 옵션은 개인 키를 보호하는 암호를 지정합니다.
5. 메시지가 표시되면 Directory Manager 암호를 입력합니다.

6. LDAP 서버의 기존 개인 키와 인증서를 새 키 및 새로 서명한 인증서로 교체합니다.

   # ipa-server-certinstall -d --pin=password new.key new.cert

   위의 명령에서 다음을 수행합니다.

   • d 옵션은 LDAP 서버에 인증서를 설치하도록 지정합니다.
   • pin 옵션은 개인 키를 보호하는 암호를 지정합니다.
7. 메시지가 표시되면 Directory Manager 암호를 입력합니다.

8. httpd 서비스를 다시 시작하십시오.

   # systemctl restart httpd.service

9. Directory 서비스를 다시 시작하십시오.

   # systemctl restart dirsrv@IDM.EXAMPLE.COM.service

10. 서버에서 하위 CA가 제거되거나 교체된 경우 클라이언트를 업데이트합니다.

    # ipa-certupdate