Red Hat Training

A Red Hat training course is available for RHEL 8

45.3. Mudando de uma CA externa para uma CA autoassinada em IdM

Complete este procedimento para mudar de um certificado assinado externamente para um certificado autoassinado da autoridade certificadora (CA) da Identity Management (IdM). Com uma CA autoassinada, a renovação do certificado da CA é gerenciada automaticamente: um administrador de sistema não precisa submeter um pedido de assinatura de certificado (CSR) a uma autoridade externa.

A mudança de uma CA assinada externamente para uma CA autoassinada substitui apenas o certificado da CA. Os certificados assinados pela AC anterior ainda são válidos e ainda estão em uso. Por exemplo, a cadeia de certificados para o certificado LDAP permanece inalterada mesmo após a mudança para uma CA autoassinada: 

external_CA certificado > IdM CA certificado > LDAP certificado

Pré-requisitos

  • Você tem acesso root ao mestre de renovação da IdM CA.
  • Você tem as credenciais do administrador da IdM.

Procedimento

  1. No mestre de renovação da IdM CA, renovar o certificado da CA como autoassinado: 

    ~]# ipa-cacert-manage renew --self-signed
Renewing CA certificate, please wait
CA certificate successfully renewed
The ipa-cacert-manage command was successful

  2. Em todos os servidores e clientes da IdM, atualizar os bancos de dados locais de certificados da IdM com os certificados do servidor: 

    [client ~]$ kinit admin
[client ~]$ ipa-certupdate
Systemwide CA database updated.
Systemwide CA database updated.
The ipa-certupdate command was successful

  3. Opcionalmente, para verificar se sua atualização foi bem sucedida e o novo certificado da CA foi adicionado ao arquivo /etc/ipa/ca.crt: 

    [client ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout
[...]
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 39 (0x27)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority
        Validity
            Not Before: Jul  1 16:32:45 2019 GMT
            Not After : Jul  1 16:32:45 2039 GMT
        Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority
[...]

    A saída mostra que a atualização foi bem sucedida, uma vez que o novo certificado da CA é listado com os certificados mais antigos da CA.