12.2. 갱신 후 IdM 도메인의 다른 IdM 서버 확인

ipa-cert-fix 도구를 사용하여 CA 갱신 서버의 인증서를 갱신한 후 다음을 수행해야 합니다.

  • 도메인에서 다른 IdM(Identity Management) 서버를 다시 시작합니다.
  • certmonger가 인증서를 갱신했는지 확인합니다.
  • 만료된 시스템 인증서가 있는 다른 CA(인증 기관) 복제본이 있는 경우 ipa-cert-fix 툴을 사용하여 해당 인증서를 갱신합니다.

사전 요구 사항

  • 관리 권한이 있는 서버에 로그인합니다.

절차

  1. --force 매개변수를 사용하여 IdM을 다시 시작하십시오.

    # ipactl restart --force

    --force 매개변수를 사용하면 ipactl 유틸리티에서 개별 서비스 시작 실패를 무시합니다. 예를 들어 서버가 만료된 인증서가 있는 CA인 경우 pki-tomcat 서비스가 시작되지 않습니다. 이는 --force 매개 변수를 사용하기 때문에 예상되고 무시됩니다.

  2. 다시 시작한 후 certmonger 서비스가 인증서를 갱신하는지 확인합니다(인증서 상태가 MONITORING이라고 함).

    # getcert list | egrep '^Request|status:|subject:'
    Request ID '20190522120745':
            status: MONITORING
            subject: CN=IPA RA,O=EXAMPLE.COM 201905222205
    Request ID '20190522120834':
            status: MONITORING
            subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205
    ...

    certmonger 가 복제본의 공유 인증서를 갱신하기 전에 다소 시간이 걸릴 수 있습니다.

  3. 서버가 CA인 경우 이전 명령은 pki-tomcat 서비스에서 사용하는 인증서에 대해 CA_UNREACHABLE 을 보고합니다.

    Request ID '20190522120835':
            status: CA_UNREACHABLE
            subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
    ...
  4. 이 인증서를 업데이트하려면 ipa-cert-fix 유틸리티를 사용하십시오.

    # ipa-cert-fix
    Dogtag sslserver certificate:
      Subject: CN=ca2.example.com,O=EXAMPLE.COM
      Serial:  3
      Expires: 2019-05-11 12:07:11
    
    Enter "yes" to proceed: yes
    Proceeding.
    Renewed Dogtag sslserver certificate:
      Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
      Serial:  15
      Expires: 2019-08-14 04:25:05
    
    The ipa-cert-fix command was successful

이제 모든 IdM 인증서가 올바르게 갱신되고 작동합니다.