11.3. 在 IdM 中从外部切换到自签名 CA

完成此步骤,从外部签名切换到身份管理(IdM)证书认证机构(CA)的自签名证书。使用自签名 CA 时,自动管理 CA 证书的续订:系统管理员不需要向外部机构提交证书签名请求(CSR)。

从外部签名切换到自签名 CA 只替换 CA 证书。之前 CA 签名的证书仍有效且仍在使用。例如,即使您移至自签名 CA 后,LDAP 证书的证书链也会保持不变:

external_CA certificate > IdM CA certificate > LDAP certificate

先决条件

  • 有到 IdM CA 续订服务器和所有 IdM 客户端和服务器的 root 访问权限。

流程

  1. 在 IdM CA 续订服务器上,将 CA 证书更新为自签名:

    # ipa-cacert-manage renew --self-signed
    Renewing CA certificate, please wait
    CA certificate successfully renewed
    The ipa-cacert-manage command was successful
  2. root 用户身份通过 SSH 连接到所有剩余的 IdM 服务器和客户端。例如:

    # ssh root@idmclient01.idm.example.com
  3. 在 IdM 客户端中,使用服务器的证书更新本地 IdM 证书数据库:

    [idmclient01 ~]# ipa-certupdate
    Systemwide CA database updated.
    Systemwide CA database updated.
    The ipa-certupdate command was successful
  4. (可选)检查您的更新是否成功,并将新 CA 证书添加到 /etc/ipa/ca.crt 文件中:

    [idmclient01 ~]$ openssl crl2pkcs7 -nocrl -certfile /etc/ipa/ca.crt | openssl pkcs7 -print_certs -text -noout
    [...]
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number: 39 (0x27)
            Signature Algorithm: sha256WithRSAEncryption
            Issuer: O=IDM.EXAMPLE.COM, CN=Certificate Authority
            Validity
                Not Before: Jul  1 16:32:45 2019 GMT
                Not After : Jul  1 16:32:45 2039 GMT
            Subject: O=IDM.EXAMPLE.COM, CN=Certificate Authority
    [...]

    输出显示更新已成功,因为新 CA 证书使用旧的 CA 证书列出。