Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 47. Geração de CRL no servidor da IdM CA

Se sua implantação de IdM usa uma autoridade de certificado (CA) incorporada, você pode precisar mover a geração da Lista de Revogação de Certificado (CRL) de um servidor de Gerenciamento de Identidade (IdM) para outro. Pode ser necessário, por exemplo, quando você quiser migrar o servidor para outro sistema.

Apenas um servidor deve gerar CRL. A função de geração de CRL é normalmente co-localizada com o mestre de renovação da IdM CA, mas isto não é obrigatório. Antes que o CRL Generation Master seja desativado, um novo CRL Generation Master deve ser selecionado pelo administrador e configurado.

Este capítulo descreve:

  • Parando a geração de CRL no mestre da IdM.
  • Começando a gerar CRL na réplica da IdM.

47.1. Parando a geração de CRL em um servidor IdM

Para parar de gerar a Lista de Revogação de Certificado (CRL) no servidor do editor da IdM CRL, use o comando ipa-crlgen-manage. Antes de desativar a geração, verifique se o servidor realmente gera a CRL. Você pode então desabilitá-la.

Pré-requisitos

  • O servidor de Gerenciamento de Identidade (IdM) é instalado no sistema RHEL 8.1 ou mais recente.
  • Você deve estar logado como raiz.

Procedimento

  1. Verifique se seu servidor está gerando a CRL:

    [root@server ~]# ipa-crlgen-manage status
    CRL generation: enabled
    Last CRL update: 2019-10-31 12:00:00
    Last CRL Number: 6
    The ipa-crlgen-manage command was successful
  2. Pare de gerar a CRL no servidor:

    [root@server ~]# ipa-crlgen-manage disable
    Stopping pki-tomcatd
    Editing /var/lib/pki/pki-tomcat/conf/ca/CS.cfg
    Starting pki-tomcatd
    Editing /etc/httpd/conf.d/ipa-pki-proxy.conf
    Restarting httpd
    CRL generation disabled on the local host. Please make sure to configure CRL generation on another master with ipa-crlgen-manage enable.
    The ipa-crlgen-manage command was successful
  3. Verifique se o servidor parou de gerar CRL:

    [root@server ~]# ipa-crlgen-manage status

O servidor parou de gerar a CRL. O próximo passo é permitir a geração da CRL no novo servidor RHEL 8.