1.3. 为 RHEL 9 IdM 服务器分配 CA 续订服务器角色
注意
只有在您的 IdM 部署使用嵌入式证书颁发机构(CA)时,才完成这些步骤。
在 rhel9.example.com 上,将 rhel9.example.com 配置为新的 CA 续订服务器:
配置
rhel9.example.com以处理 CA 子系统证书续订:[root@rhel9 ~]# ipa config-mod --ca-renewal-master-server rhel9.example.com ... IPA masters: rhel8.example.com, rhel9.example.com IPA CA servers: rhel8.example.com, rhel9.example.com IPA CA renewal master: rhel9.example.com
输出确认更新成功。
在
rhel9.example.com上,启用证书更新器任务:-
打开
/etc/pki/pki-tomcat/ca/CS.cfg配置文件进行编辑。 -
删除
ca.certStatusUpdateInterval条目,或者将其设置为所需的间隔(以秒为单位)。默认值为600。 -
保存并关闭
/etc/pki/pki-tomcat/ca/CS.cfg配置文件。 重启 IdM 服务:
[user@rhel9 ~]$ ipactl restart
-
打开
在
rhel8.example.com上,禁用证书更新器任务:-
打开
/etc/pki/pki-tomcat/ca/CS.cfg配置文件进行编辑。 将
ca.certStatusUpdateInterval改为0,或者如果以下条目不存在,就添加它:ca.certStatusUpdateInterval=0
-
保存并关闭
/etc/pki/pki-tomcat/ca/CS.cfg配置文件。 重启 IdM 服务:
[user@rhel8 ~]$ ipactl restart
-
打开
