46.2. Verificação de outros servidores IdM no domínio IdM após a renovação

Procedimento

1. Reinicie o IdM com o parâmetro --force:

   # reinício do ipactl --force

   Com o parâmetro --force, o utilitário ipactl ignora falhas individuais na inicialização do serviço. Por exemplo, se o servidor também for uma CA com certificados vencidos, o serviço pki-tomcat não inicia. Isto é esperado e ignorado devido ao uso do parâmetro --force.

2. Após o reinício, verifique se o serviço certmonger renovou os certificados (o status do certificado diz MONITORING):

   # getcert list | egrep '^Request|status:|subject:'
   Request ID '20190522120745':
           status: MONITORING
           subject: CN=IPA RA,O=EXAMPLE.COM 201905222205
   Request ID '20190522120834':
           status: MONITORING
           subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205
   ...

   Pode levar algum tempo até que certmonger renove os certificados compartilhados na réplica.

3. Se o servidor também for uma CA, o comando anterior informa CA_UNREACHABLE para o certificado que o serviço pki-tomcat utiliza:

   Request ID '20190522120835':
           status: CA_UNREACHABLE
           subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
   ...

4. Para renovar este certificado, use o utilitário ipa-cert-fix:

   # ipa-cert-fix
   Dogtag sslserver certificate:
     Subject: CN=ca2.example.com,O=EXAMPLE.COM
     Serial:  3
     Expires: 2019-05-11 12:07:11
   
   Enter "yes" to proceed: yes
   Proceeding.
   Renewed Dogtag sslserver certificate:
     Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
     Serial:  15
     Expires: 2019-08-14 04:25:05
   
   The ipa-cert-fix command was successful