Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

59장. IdM이 오프라인 상태일 때 만료된 시스템 인증서 갱신

시스템 인증서가 만료되면 IdM(Identity Management)이 시작되지 않습니다. IdM은 ipa-cert-fix 툴을 사용하여 IdM이 오프라인인 경우 시스템 인증서 갱신을 지원합니다.

사전 요구 사항

  • IdM은 Red Hat Enterprise Linux 8.1 이상에만 설치됩니다.

59.1. CA 갱신 서버에서 만료된 시스템 인증서 갱신

이 섹션에서는 만료된 IdM 인증서에 ipa-cert-fix 툴을 적용하는 방법에 대해 설명합니다.

중요

CA 갱신 서버가 아닌 CA(Certificate Authority) 호스트에서 ipa-cert-fix 툴을 실행하고 유틸리티에서 공유 인증서를 갱신하면 해당 호스트가 도메인의 새 CA 갱신 서버가 됩니다. 불일치를 방지하려면 도메인에는 항상 하나의 CA 갱신 서버만 있어야 합니다.

사전 요구 사항

  • 관리 권한이 있는 서버에 로그인합니다.

절차

  1. ipa-cert-fix 툴을 시작하여 시스템을 분석하고 갱신이 필요한 만료된 인증서를 나열합니다.

    # ipa-cert-fix
    ...
    The following certificates will be renewed:
    
    Dogtag sslserver certificate:
      Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
      Serial:  13
      Expires: 2019-05-12 05:55:47
    ...
    Enter "yes" to proceed:
  2. yes 를 입력하여 갱신 프로세스를 시작합니다.

    Enter "yes" to proceed: yes
    Proceeding.
    Renewed Dogtag sslserver certificate:
      Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
      Serial:  268369925
      Expires: 2021-08-14 02:19:33
    ...
    
    Becoming renewal master.
    The ipa-cert-fix command was successful

    ipa-cert-fix 가 만료된 모든 인증서를 갱신하는 데 최대 1분이 걸릴 수 있습니다.

  3. 필요한 경우 모든 서비스가 현재 실행 중인지 확인합니다.

    # ipactl status
    Directory Service: RUNNING
    krb5kdc Service: RUNNING
    kadmin Service: RUNNING
    httpd Service: RUNNING
    ipa-custodia Service: RUNNING
    pki-tomcatd Service: RUNNING
    ipa-otpd Service: RUNNING
    ipa: INFO: The ipactl command was successful

이때 인증서가 갱신되어 서비스가 실행 중입니다. 다음 단계는 IdM 도메인의 다른 서버를 확인하는 것입니다.

참고

여러 CA 서버에서 인증서를 복구해야 하는 경우:

  1. LDAP 복제가 토폴로지 전체에서 작동하는지 확인한 후 먼저 위의 절차에 따라 하나의 CA 서버에서 ipa-cert-fix 를 실행합니다.
  2. 다른 CA 서버에서 ipa-cert-fix 를 실행하기 전에 getcert-resubmit 을 통해 공유 인증서에 대한 Certmonger 갱신을 트리거하여 공유 인증서의 불필요한 갱신을 방지합니다.