Red Hat Training

A Red Hat training course is available for RHEL 8

第 56 章 IdM 离线时续订过期的系统证书

当系统证书过期时,身份管理(IdM)无法启动。当 IdM 使用 ipa-cert-fix 工具离线时,IdM 支持更新系统证书。

先决条件

  • IdM 只在 Red Hat Enterprise Linux 8.1 或更高版本中安装

56.1. 在 CA 续订服务器上续订过期的系统证书

本节论述了如何在过期的 IdM 证书中应用 ipa-cert-fix 工具。

重要

如果您在不是 CA 续订服务器的 CA(证书授权机构)主机上运行 ipa-cert-fix 工具,并且 实用程序续订共享证书,则该主机会自动成为域中的新 CA 续订服务器。域中必须始终只有一个 CA 续订服务器,以避免不一致。

先决条件

  • 使用管理权限登录到服务器

流程

  1. 启动 ipa-cert-fix 工具,以分析系统并列出需要续订的过期证书:

    # ipa-cert-fix
    ...
    The following certificates will be renewed:
    
    Dogtag sslserver certificate:
      Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
      Serial:  13
      Expires: 2019-05-12 05:55:47
    ...
    Enter "yes" to proceed:
  2. 输入 yes 以开始续订过程:

    Enter "yes" to proceed: yes
    Proceeding.
    Renewed Dogtag sslserver certificate:
      Subject: CN=ca1.example.com,O=EXAMPLE.COM 201905222205
      Serial:  268369925
      Expires: 2021-08-14 02:19:33
    ...
    
    Becoming renewal master.
    The ipa-cert-fix command was successful

    ipa-cert-fix 更新所有过期证书前最多可能需要一分钟的时间。

  3. (可选)验证所有服务现在是否都在运行:

    # ipactl status
    Directory Service: RUNNING
    krb5kdc Service: RUNNING
    kadmin Service: RUNNING
    httpd Service: RUNNING
    ipa-custodia Service: RUNNING
    pki-tomcatd Service: RUNNING
    ipa-otpd Service: RUNNING
    ipa: INFO: The ipactl command was successful

此时,证书已被续订,服务正在运行。下一步是检查 IdM 域中的其他服务器。