[FreeIPA] Renouvellement des certificats

 

Renouvellement des certificats sur FreeIPA

Article original Publié le : 21 novembre 2020 Mise a jour le : –

 

Par défaut les certificats sont en auto-renew via le service certmonger qui essayera de renouveler le certificat 28 jours avant son expiration
https://www.freeipa.org/page/Certmonger

 

Si le certificat venait a ne pas être renouvelé il est possible de le faire manuellement

• Avant la date d’échéance
• Après la date d’échéance, il faudra revenir a une date inférieur a une semaine avant expiration

 

Commencer par lister la validité des certificats, cette commande liste l’ensemble de tous les serveurs d’une ferme

 

Puis récupérer les id des certificats en vu de leur renouvellement, cette commande est a lancer sur chaque serveur si il y a une ferme

 

 

Renouvellement des certificats sur un serveur Freeipa en version égale ou inférieur a VERSION: 4.6.4

Pour régénérer un certificat en cours il faut récupérer l’ID du certificat et lancer la commande renouvellement ipa-getcert resubmit
/!\ Dans le cadre d’un certificat expiré, il faudra revenir a une semaine avant l’expiration avant de lancer la commande

 

 

 

 

Renouvellement des certificats sur un serveur Freeipa en version égale ou supérieur a VERSION: 4.6.5

Le renouvellement par ID comme vu ci dessus est toujours valide et la version 4.6.5 intègre une nouvelle commande ipa-cert-fix qui permet de régénérer l’ensemble des certificats présents sur le serveur
Efficace dans le cadre d’un serveur dont les certificats sont expirés et qui ne répond plus

 

Un peu de doc

https://access.redhat.com/solutions/1605213

https://www.freeipa.org/page/Troubleshooting/PKI → https://lanasertweedale.github.lan/blog-redhat/posts/2019-05-24-ipa-cert-fix.html