Capítulo 45. Usando o mestre de renovação da IdM CA

Em uma implantação de Gerenciamento de Identidade (IdM) que usa uma autoridade de certificado embutida (CA), o servidor mestre de renovação CA mantém e renova os certificados do sistema IdM. Ele garante implantações de IdM ininterruptas.

Os certificados do sistema IdM incluem:

O que caracteriza os certificados de sistema é que suas chaves são compartilhadas por todas as réplicas CA. Em contraste, os certificados de serviço IdM (por exemplo, LDAP, HTTP e PKINIT certificados), têm diferentes pares de chaves e nomes de assunto em diferentes servidores IdM CA.

Na topologia da IdM, por padrão, o primeiro servidor mestre da IdM CA é o mestre da renovação da CA.

O papel do servidor mestre de renovação CA

Os certificados IdM CA, IdM CA subsystem, e IdM RA são cruciais para a implantação da IdM. Cada certificado é armazenado em um banco de dados do NSS no diretório /etc/pki/pki-tomcat/ e também como uma entrada no banco de dados LDAP. O certificado armazenado no LDAP deve corresponder ao certificado armazenado no banco de dados do NSS. Se eles não corresponderem, falhas de autenticação ocorrem entre a estrutura do IdM e o IdM CA, e entre o IdM CA e o LDAP.

Todas as réplicas da IdM CA têm pedidos de rastreamento para cada certificado de sistema. Se uma implantação de IdM com CA integrada não contém um mestre de renovação de CA, cada servidor de IdM CA solicita a renovação de certificados de sistema de forma independente. Isto resulta em diferentes réplicas de CA com vários certificados de sistema e falhas de autenticação ocorrendo.

A nomeação de uma réplica do CA como mestre de renovação permite que os certificados do sistema sejam renovados exatamente uma vez, quando necessário, e assim evita falhas de autenticação.

O papel do certmonger nas réplicas do CA

O serviço certmonger executado em todas as réplicas da IdM CA usa o helper de renovação dogtag-ipa-ca-renew-agent para manter o controle dos certificados do sistema IdM. O programa ajudante de renovação lê a configuração mestre de renovação da CA. Em cada réplica do CA que não é o mestre de renovação do CA, o programa ajudante de renovação recupera os certificados mais recentes do sistema a partir das entradas do ca_renewal LDAP. Devido à não determinação de quando exatamente certmonger tentativas de renovação ocorrem, o ajudante dogtag-ipa-ca-renew-agent às vezes tenta atualizar um certificado de sistema antes que o mestre de renovação da CA tenha realmente renovado o certificado. Se isto acontecer, o certificado antigo, em breve expirado, é devolvido ao certmonger na réplica da CA. O certmonger, percebendo que é o mesmo certificado que já está armazenado em seu banco de dados, continua tentando renovar o certificado com algum atraso entre tentativas individuais até que consiga recuperar o certificado atualizado da mestre de renovação da CA.

O funcionamento correto do mestre de renovação da IdM CA

Uma implantação IdM com uma CA embutida é uma implantação IdM que foi instalada com uma IdM CA - ou cujo servidor mestre IdM CA foi instalado mais tarde. Uma implementação de IdM com uma CA embutida deve ter sempre exatamente uma réplica da CA configurada como o master de renovação. O servidor mestre de renovação deve estar online e totalmente funcional, e deve se replicar corretamente com os outros servidores.

Se o servidor mestre atual de renovação da CA estiver sendo excluído usando os comandos ipa server-del, ipa-replica-manage del, ipa-csreplica-manage del ou ipa-server-install --uninstall, uma réplica da CA é automaticamente atribuída como servidor mestre de renovação da CA. Esta política assegura que a configuração do servidor mestre de renovação permaneça válida.

Esta política não cobre as seguintes situações: