Red Hat Training

A Red Hat training course is available for RHEL 8

45.2. Mudando e reiniciando o mestre de renovação do IdM CA

Quando uma autoridade de renovação de certificados (CA) está sendo desativada, a Administração de Identidade (IdM) seleciona automaticamente uma nova autoridade de renovação de CA a partir da lista de servidores da IdM CA. O administrador do sistema não pode influenciar a seleção.

Para poder selecionar o novo servidor mestre de renovação da IdM CA, o administrador do sistema deve realizar a substituição manualmente. Selecionar o master antes de iniciar o processo de desativação do master de renovação atual.

Se a configuração atual do mestre de renovação CA for inválida, reinicie o mestre de renovação do IdM CA.

Complete este procedimento para alterar ou reiniciar o mestre de renovação do CA.

Pré-requisitos

  • Você tem as credenciais do administrador da IdM.

Procedimento

  1. Obter as credenciais do administrador da IdM:

    ~]$ kinit admin
    Password for admin@IDM.EXAMPLE.COM:
  2. Opcionalmente, para descobrir quais servidores IdM na implantação têm o papel de CA necessário para serem elegíveis para se tornar o novo mestre da renovação de CA:

    ~]$ ipa server-role-find --role 'CA server'
    ----------------------
    2 server roles matched
    ----------------------
      Server name: server.idm.example.com
      Role name: CA server
      Role status: enabled
    
      Server name: replica.idm.example.com
      Role name: CA server
      Role status: enabled
    ----------------------------
    Number of entries returned 2
    ----------------------------

    Há dois servidores CA na implantação.

  3. Opcionalmente, para descobrir qual servidor CA é o atual mestre da renovação CA, entre:

    ~]$ ipa config-show | grep 'CA renewal master'
      IPA CA renewal master: server.idm.example.com

    O atual mestre de renovação é server.idm.example.com.

  4. Para alterar a configuração mestre de renovação, use o utilitário ipa config-mod com a opção --ca-renewal-master-server:

    ~]$ ipa config-mod --ca-renewal-master-server replica.idm.example.com | grep 'CA renewal master'
      IPA CA renewal master: replica.idm.example.com
    Importante

    Você também pode mudar para um novo mestre de renovação de CA usando:

    • o comando ipa-cacert-manage --renew. Este comando tanto renova o certificado da CA and faz do servidor da CA no qual se executa o comando o novo mestre de renovação da CA.
    • o comando ipa-cert-fix. Este comando recupera o desdobramento quando certificados vencidos estão causando falhas. Ele também torna o servidor CA no qual se executa o comando o novo mestre de renovação CA.

      Para detalhes, veja Renovação de certificados de sistema expirados quando a IdM está offline.