[FreeIPA] Renouvellement des certificats

 

Renouvellement des certificats sur FreeIPA
Article original Publié le : 21 novembre 2020
Mise a jour le :

 

Par défaut les certificats sont en auto-renew via le service certmonger qui essayera de renouveler le certificat 28 jours avant son expiration
https://www.freeipa.org/page/Certmonger

 

Si le certificat venait a ne pas être renouvelé il est possible de le faire manuellement

  • Avant la date d’échéance
  • Après la date d’échéance, il faudra revenir a une date inférieur a une semaine avant expiration

 

Commencer par lister la validité des certificats, cette commande liste l’ensemble de tous les serveurs d’une ferme

# ipa cert-find
-----------------------------
56 certificats correspondants
-----------------------------
  AC émettrice: ipa
  Sujet: CN=Izero Izero Root,OU=0002 888888888,O=Izero,C=LAN
  Émetteur: CN=Izero Izero Root,OU=0002 888888888,O=Izero,C=LAN
  Pas avant: Tue Dec 18 13:49:37 2018 UTC
  Pas après: Sat Dec 18 13:49:37 2038 UTC
  Numéro de série: 1
  Numéro de série (hex): 0x1
  État: VALID
  Révoqué: False

  AC émettrice: ipa
  Sujet: CN=OCSP Subsystem,O=IZERO.LAN
  Émetteur: CN=Izero Izero Root,OU=0002 888888888,O=Izero,C=LAN
  Pas avant: Tue Dec 18 13:49:39 2018 UTC
  Pas après: Mon Dec 07 13:49:39 2020 UTC
  Numéro de série: 2
  Numéro de série (hex): 0x2
  État: VALID
  Révoqué: False

 

Puis récupérer les id des certificats en vu de leur renouvellement, cette commande est a lancer sur chaque serveur si il y a une ferme

# getcert list
Number of certificates and requests being tracked: 9.
Request ID '20191219160709':
	status: MONITORING
	stuck: no
	key pair storage: type=NSSDB,location='/etc/dirsrv/slapd-IZERO-LAN',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/dirsrv/slapd-IZERO-LAN/pwdfile.txt'
	certificate: type=NSSDB,location='/etc/dirsrv/slapd-IZERO-LAN',nickname='Server-Cert',token='NSS Certificate DB'
	CA: IPA
	issuer: CN=Izero Izero Root,OU=0002 888888888,O=Izero,C=LAN
	subject: CN=srv-freeipa.izero.lan,O=IZERO.LAN
	expires: 2021-12-19 16:07:10 UTC
	dns: srv-freeipa.izero.lan
	principal name: ldap/srv-freeipa.izero.lan@IZERO.LAN
	key usage: digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment
	eku: id-kp-serverAuth,id-kp-clientAuth
	pre-save command: 
	post-save command: /usr/libexec/ipa/certmonger/restart_dirsrv IZERO-LAN
	track: yes
	auto-renew: yes
Request ID '20191219160749':
	status: MONITORING
	stuck: no
	key pair storage: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/httpd/alias/pwdfile.txt'
	certificate: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB'
	CA: IPA
	issuer: CN=Izero Izero Root,OU=0002 888888888,O=Izero,C=LAN
	subject: CN=srv-freeipa.izero.lan,O=IZERO.LAN
	expires: 2021-12-19 16:07:50 UTC
	dns: srv-freeipa.izero.lan
	principal name: HTTP/srv-freeipa.izero.lan@IZERO.LAN
	key usage: digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment
	eku: id-kp-serverAuth,id-kp-clientAuth
	pre-save command: 
	post-save command: /usr/libexec/ipa/certmonger/restart_httpd
	track: yes
	auto-renew: yes

 

 

Renouvellement des certificats sur un serveur Freeipa en version égale ou inférieur a VERSION: 4.6.4

Pour régénérer un certificat en cours il faut récupérer l’ID du certificat et lancer la commande renouvellement ipa-getcert resubmit
/!\ Dans le cadre d’un certificat expiré, il faudra revenir a une semaine avant l’expiration avant de lancer la commande

# getcert list
Number of certificates and requests being tracked: 9.
Request ID '20180913164631':
	status: MONITORING
	stuck: no
	key pair storage: type=NSSDB,location='/etc/dirsrv/slapd-IZERO-LAN',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/dirsrv/slapd-IZERO-LAN/pwdfile.txt'
	certificate: type=NSSDB,location='/etc/dirsrv/slapd-IZERO-LAN',nickname='Server-Cert',token='NSS Certificate DB'
	CA: IPA
	issuer: CN=Certificate Authority,O=IZERO.LAN
	subject: CN=srv-freeipa.izero.lan,O=IZERO.LAN
	expires: 2022-08-17 22:12:46 UTC
	dns: srv-freeipa.izero.lan
	principal name: ldap/srv-freeipa.izero.lan@IZERO.LAN
	key usage: digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment
	eku: id-kp-serverAuth,id-kp-clientAuth
	pre-save command: 
	post-save command: /usr/libexec/ipa/certmonger/restart_dirsrv IZERO-LAN
	track: yes
	auto-renew: yes

 

# ipa-getcert resubmit -i 20180913164631
Resubmitting "20180913164631" to "IPA".

 

# getcert list
Number of certificates and requests being tracked: 9.
Request ID '20180913164631':
	status: MONITORING
	stuck: no
	key pair storage: type=NSSDB,location='/etc/dirsrv/slapd-IZERO-LAN',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/dirsrv/slapd-IZERO-LAN/pwdfile.txt'
	certificate: type=NSSDB,location='/etc/dirsrv/slapd-IZERO-LAN',nickname='Server-Cert',token='NSS Certificate DB'
	CA: IPA
	issuer: CN=Certificate Authority,O=IZERO.LAN
	subject: CN=srv-freeipa.izero.lan,O=IZERO.LAN
	expires: 2022-11-21 10:00:09 UTC
	dns: srv-freeipa.izero.lan
	principal name: ldap/srv-freeipa.izero.lan@IZERO.LAN
	key usage: digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment
	eku: id-kp-serverAuth,id-kp-clientAuth
	pre-save command: 
	post-save command: /usr/libexec/ipa/certmonger/restart_dirsrv IZERO-LAN
	track: yes
	auto-renew: yes

 

 

Renouvellement des certificats sur un serveur Freeipa en version égale ou supérieur a VERSION: 4.6.5

Le renouvellement par ID comme vu ci dessus est toujours valide et la version 4.6.5 intègre une nouvelle commande ipa-cert-fix qui permet de régénérer l’ensemble des certificats présents sur le serveur
Efficace dans le cadre d’un serveur dont les certificats sont expirés et qui ne répond plus

# ipa-cert-fix
                          WARNING

ipa-cert-fix is intended for recovery when expired certificates
prevent the normal operation of IPA.  It should ONLY be used
in such scenarios, and backup of the system, especially certificates
and keys, is STRONGLY RECOMMENDED.


The following certificates will be renewed: 

Dogtag sslserver certificate:
  Subject: CN=srv-freeipa.izero.lan,O=IZERO.LAN
  Serial:  25
  Expires: 2020-05-07 12:33:16

Dogtag subsystem certificate:
  Subject: CN=CA Subsystem,O=IZERO.LAN
  Serial:  4
  Expires: 2020-03-10 17:24:54

Dogtag ca_ocsp_signing certificate:
  Subject: CN=OCSP Subsystem,O=IZERO.LAN
  Serial:  2
  Expires: 2020-03-10 17:24:54

Dogtag ca_audit_signing certificate:
  Subject: CN=CA Audit,O=IZERO.LAN
  Serial:  5
  Expires: 2020-03-10 17:24:54

IPA IPA RA certificate:
  Subject: CN=IPA RA,O=IZERO.LAN
  Serial:  7
  Expires: 2020-03-10 17:25:13


Enter "yes" to proceed: yes
Proceeding.


Renewed Dogtag sslserver certificate:
  Subject: CN=srv-freeipa.izero.lan,O=IZERO.LAN
  Serial:  268304394
  Expires: 2022-11-09 21:07:37

Renewed Dogtag subsystem certificate:
  Subject: CN=CA Subsystem,O=IZERO.LAN
  Serial:  268304395
  Expires: 2022-11-09 21:07:38

Renewed Dogtag ca_ocsp_signing certificate:
  Subject: CN=OCSP Subsystem,O=IZERO.LAN
  Serial:  268304396
  Expires: 2022-11-09 21:07:38

Renewed Dogtag ca_audit_signing certificate:
  Subject: CN=CA Audit,O=IZERO.LAN
  Serial:  268304397
  Expires: 2022-11-09 21:07:38

Renewed IPA IPA RA certificate:
  Subject: CN=IPA RA,O=IZERO.LAN
  Serial:  268304398
  Expires: 2022-11-09 21:07:38

Becoming renewal master.
The ipa-cert-fix command was successful

 

Un peu de doc

https://access.redhat.com/solutions/1605213

https://www.freeipa.org/page/Troubleshooting/PKIhttps://lanasertweedale.github.lan/blog-redhat/posts/2019-05-24-ipa-cert-fix.html

 

 

No votes yet.
Please wait...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.