Red Hat Training

A Red Hat training course is available for RHEL 8

56.2. 续订后验证 IdM 域中的其他 IdM 服务器

在使用 ipa-cert-fix 工具续订 CA 续订服务器证书后,您必须:

  • 重新启动 域中的所有其他身份管理(IdM)服务器。
  • 检查 certmonger 是否更新的证书。
  • 如果有其他带有过期系统证书的证书颁发机构(CA)副本,还可以使用 ipa-cert-fix 工具续订这些证书。

先决条件

  • 使用管理权限登录服务器。

流程

  1. 使用 --force 参数重启 IdM:

    # ipactl restart --force

    使用 --force 参数时,ip actl 实用程序会忽略单个服务启动失败。例如,如果服务器也是证书过期的 CA,pki-tomcat 服务将无法启动。这是预期并忽略的,因为使用了 --force 参数。

  2. 重启后,验证 certmonger 服务 是否已更新证书(certificate 状态显示 MONITORING):

    # getcert list | egrep '^Request|status:|subject:'
    Request ID '20190522120745':
            status: MONITORING
            subject: CN=IPA RA,O=EXAMPLE.COM 201905222205
    Request ID '20190522120834':
            status: MONITORING
            subject: CN=Certificate Authority,O=EXAMPLE.COM 201905222205
    ...

    可能需要过些时间,certmonger 才会续订副本上的共享证书。

  3. 如果服务器也是 CA,以上命令会报告 pki-tomcat 服务使用的证书的 CA_UNREACHABLE

    Request ID '20190522120835':
            status: CA_UNREACHABLE
            subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
    ...
  4. 要续订此证书,请使用 ipa-cert-fix 工具:

    # ipa-cert-fix
    Dogtag sslserver certificate:
      Subject: CN=ca2.example.com,O=EXAMPLE.COM
      Serial:  3
      Expires: 2019-05-11 12:07:11
    
    Enter "yes" to proceed: yes
    Proceeding.
    Renewed Dogtag sslserver certificate:
      Subject: CN=ca2.example.com,O=EXAMPLE.COM 201905222205
      Serial:  15
      Expires: 2019-08-14 04:25:05
    
    The ipa-cert-fix command was successful

现在,所有 IdM 证书已被更新并可以正常工作。