18.7. CA 복제본에서 certmonger가 IdM 인증서 추적을 재개하도록 설정

다음 절차에서는 certmonger 가 인증서 추적이 중단된 후 통합된 인증 기관을 사용하여 IdM(Identity Management) 시스템 인증서 추적을 재개하도록 하는 방법을 보여줍니다. 시스템 인증서를 갱신하거나 복제 토폴로지가 제대로 작동하지 않는 동안 IdM 호스트가 IdM에서 해제되어 발생했기 때문일 수 있습니다. 이 절차에서는 certmonger 가 IdM 서비스 인증서의 추적을 재개하도록 하는 방법( HTTP,LDAPPKINIT 인증서)도 보여줍니다.

사전 요구 사항

  • 시스템 인증서 추적을 재개하려는 호스트는 IdM CA 갱신 서버가 아닌 IdM 인증 기관(CA)이기도 합니다.

절차

  1. 하위 시스템 CA 인증서에 대한 Pin을 가져옵니다. 

    # grep 'internal=' /var/lib/pki/pki-tomcat/conf/password.conf

  2. 하위 시스템 CA 인증서에 추적을 추가하고 아래 명령의 [internal PIN] 을 이전 단계에서 얻은 PIN으로 교체합니다. 

    # getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "caSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "caSigningCert cert-pki-ca"' -T caCACert

# getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "auditSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "auditSigningCert cert-pki-ca"' -T caSignedLogCert

# getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "ocspSigningCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "ocspSigningCert cert-pki-ca"' -T caOCSPCert

# getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "subsystemCert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "subsystemCert cert-pki-ca"' -T caSubsystemCert

# getcert start-tracking -d /etc/pki/pki-tomcat/alias -n "Server-Cert cert-pki-ca" -c 'dogtag-ipa-ca-renew-agent' -P [internal PIN] -B /usr/libexec/ipa/certmonger/stop_pkicad -C '/usr/libexec/ipa/certmonger/renew_ca_cert "Server-Cert cert-pki-ca"' -T caServerCert

  3. 나머지 IdM 인증서, HTTP,LDAP,IPA 갱신 에이전트PKINIT 인증서에 대한 추적을 추가합니다. 

    # getcert start-tracking -f /var/lib/ipa/certs/httpd.crt -k /var/lib/ipa/private/httpd.key -p /var/lib/ipa/passwds/idm.example.com-443-RSA -c IPA -C /usr/libexec/ipa/certmonger/restart_httpd -T caIPAserviceCert

# getcert start-tracking -d /etc/dirsrv/slapd-IDM-EXAMPLE-COM -n "Server-Cert" -c IPA -p /etc/dirsrv/slapd-IDM-EXAMPLE-COM/pwdfile.txt -C '/usr/libexec/ipa/certmonger/restart_dirsrv "IDM-EXAMPLE-COM"' -T caIPAserviceCert

# getcert start-tracking -f /var/lib/ipa/ra-agent.pem -k /var/lib/ipa/ra-agent.key -c dogtag-ipa-ca-renew-agent -B /usr/libexec/ipa/certmonger/renew_ra_cert_pre -C /usr/libexec/ipa/certmonger/renew_ra_cert -T caSubsystemCert

# getcert start-tracking -f /var/kerberos/krb5kdc/kdc.crt -k /var/kerberos/krb5kdc/kdc.key -c dogtag-ipa-ca-renew-agent -B /usr/libexec/ipa/certmonger/renew_ra_cert_pre -C /usr/libexec/ipa/certmonger/renew_kdc_cert -T KDCs_PKINIT_Certs

  4. certmonger 를 다시 시작합니다. 

    # systemctl restart certmonger

  5. certmonger 가 시작된 후 1분 정도 기다린 후 새 인증서의 상태를 확인합니다. 

    # getcert list

추가 리소스

  • IdM 시스템 인증서가 모두 만료된 경우 이 KCS(기술 센터 지원) 솔루션을 참조하여 CA 갱신 서버 및 CRL 게시자 서버이기도 IdM CA 서버에서 IdM 시스템 인증서를 수동으로 갱신합니다. 그런 다음 이 KCS 솔루션에 설명된 절차에 따라 토폴로지의 다른 모든 CA 서버에서 IdM 시스템 인증서를 수동으로 갱신합니다.