Red Hat Training

A Red Hat training course is available for RHEL 8

48.5. Iniciar y detener el seguimiento de certificados

Esta sección describe cómo puede utilizar los comandos getcert stop-tracking y getcert start-tracking para supervisar los certificados. Los dos comandos son proporcionados por el servicio certmonger. Activar el seguimiento de certificados es especialmente útil si ha importado un certificado emitido por la autoridad de certificación (CA) de Gestión de identidades (IdM) en la máquina desde un cliente IdM diferente. Activar el seguimiento de certificados también puede ser el último paso del siguiente escenario de aprovisionamiento:

  1. En el servidor IdM, se crea un certificado para un sistema que aún no existe.
  2. Crea el nuevo sistema.
  3. Se inscribe el nuevo sistema como cliente de IdM.
  4. Importa el certificado y la clave del servidor IdM al cliente IdM.
  5. Se inicia el seguimiento del certificado a través de certmonger para asegurarse de que se renueva cuando expira.

Procedimiento

  • Para desactivar la supervisión de un certificado con el ID de solicitud de 20190408143846: 

    # getcert stop-tracking -i 20190408143846

    Para más opciones, consulte la página de manual getcert stop-tracking.

  • Para permitir la supervisión de un certificado almacenado en el archivo /tmp/some_cert.crt, cuya clave privada está almacenada en el archivo /tmp/some_key.key: 

    # getcert start-tracking -c IPA -f /tmp/some_cert.crt -k /tmp/some_key.key

    Certmonger no puede identificar automáticamente el tipo de CA que emitió el certificado. Por este motivo, añada la opción -c con el valor IPA al comando getcert start-tracking si el certificado fue emitido por la CA IdM. Si no se añade la opción -c, certmonger entra en el estado NEED_CA.

    Para más opciones, consulte la página de manual getcert start-tracking.

Nota

Los dos comandos no manipulan el certificado. Por ejemplo, getcert stop-tracking no borra el certificado ni lo elimina de la base de datos del NSS o del sistema de archivos, sino que simplemente lo elimina de la lista de certificados supervisados. Del mismo modo, getcert start-tracking sólo añade un certificado a la lista de certificados supervisados.