1.3. 为 RHEL 8 IdM 服务器分配 CA 续订服务器角色
按照以下流程,使 RHEL 8 服务器成为证书颁发机构(CA)续订服务器。
注意
只有在您的 IdM 部署使用嵌入式证书颁发机构(CA)时,才按照以下步骤操作。
在 rhel8.example.com
上,将 rhel8.example.com
配置为新的 CA 续订服务器:
配置
rhel8.example.com
,以处理 CA 子系统证书续订:[root@rhel8 ~]# ipa config-mod --ca-renewal-master-server rhel8.example.com ... IPA masters: rhel7.example.com, rhel8.example.com IPA CA servers: rhel7.example.com, rhel8.example.com IPA NTP servers: rhel7.example.com, rhel8.example.com IPA CA renewal master: rhel8.example.com
输出确认更新成功。
在
rhel8.example.com
上,启用证书更新器任务:-
打开
/etc/pki/pki-tomcat/ca/CS.cfg
配置文件进行编辑。 -
删除
ca.certStatusUpdateInterval
条目,或者将其设置为所需的间隔(以秒为单位)。默认值为600
。 -
保存并关闭
/etc/pki/pki-tomcat/ca/CS.cfg
配置文件。 重启 IdM 服务:
[user@rhel8 ~]$ ipactl restart
-
打开
在
rhel7.example.com
上,禁用证书更新器任务:-
打开
/etc/pki/pki-tomcat/ca/CS.cfg
配置文件进行编辑。 将
ca.certStatusUpdateInterval
改为0
,或者如果以下条目不存在,就添加它:ca.certStatusUpdateInterval=0
-
保存并关闭
/etc/pki/pki-tomcat/ca/CS.cfg
配置文件。 重启 IdM 服务:
[user@rhel7 ~]$ ipactl restart
-
打开