Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 70. Verificación de certificados mediante IdM Healthcheck

Esta sección ayuda a comprender y utilizar la herramienta Healthcheck en la gestión de identidades (IdM) para identificar problemas con los certificados IPA mantenidos por certmonger.

Para más detalles, véase Healthcheck en IdM.

Requisitos previos

  • La herramienta Healthcheck sólo está disponible en RHEL 8.1 y posteriores.

70.1. Certificados IdM Pruebas de chequeo

La herramienta Healthcheck incluye varias pruebas para verificar el estado de los certificados mantenidos por certmonger en Identity Management (IdM). Para obtener más información sobre certmonger, consulte Obtención de un certificado IdM para un servicio mediante certmonger.

Este conjunto de pruebas comprueba la caducidad, la validación, la confianza y otras cuestiones. Se pueden lanzar múltiples errores por el mismo problema subyacente.

Para ver todas las pruebas de certificados, ejecute la página ipa-healthcheck con la opción --list-sources:

# ipa-healthcheck --list-sources

Puede encontrar todas las pruebas en la fuente ipahealthcheck.ipa.certs:

IPACertmongerExpirationCheck

Esta prueba comprueba los vencimientos en certmonger.

Si se informa de un error, el certificado ha caducado.

Si aparece una advertencia, el certificado expirará pronto. Por defecto, esta prueba se aplica dentro de los 28 días o menos antes de la expiración del certificado.

Puede configurar el número de días en el archivo /etc/ipahealthcheck/ipahealthcheck.conf. Después de abrir el archivo, cambie la opción cert_expiration_days situada en la sección por defecto.

Nota

Certmonger carga y mantiene su propia visión de la expiración del certificado. Esta comprobación no valida el certificado en disco.

IPACertfileExpirationCheck

Esta prueba comprueba si el archivo de certificado o la base de datos NSS no pueden abrirse. Esta prueba también comprueba la caducidad. Por lo tanto, lea atentamente el atributo msg en la salida de error o advertencia. El mensaje especifica el problema.

Nota

Esta prueba comprueba el certificado en el disco. Si falta un certificado, es ilegible, etc., se puede producir un error por separado.

IPACertNSSTrust
Esta prueba compara la confianza de los certificados almacenados en las bases de datos del NSS. Para los certificados rastreados esperados en las bases de datos del NSS, la confianza se compara con un valor esperado y se genera un error en caso de no coincidencia.
IPANSSChainValidation
Esta prueba valida la cadena de certificados del NSS. La prueba se ejecuta certutil -V -u V -e -d [dbdir] -n [nickname]
IPAOpenSSLChainValidation

Esta prueba valida la cadena de certificados de los certificados OpenSSL. Para que sea comparable con la validación de NSSChain aquí está el comando de OpenSSL que ejecutamos:

openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [archivo cert]
IPARAAgent
Esta prueba compara el certificado en disco con el registro equivalente en LDAP en uid=ipara,ou=People,o=ipaca.
IPACertRevocation
Esta prueba utiliza certmonger para verificar que los certificados no han sido revocados. Por lo tanto, la prueba puede encontrar problemas relacionados con los certificados mantenidos por certmonger solamente.
IPACertmongerCA

Esta prueba verifica la configuración de la Autoridad de Certificación (CA) de certmonger. IdM no puede emitir certificados sin CA.

Certmonger mantiene un conjunto de ayudantes de CA. En IdM, hay una CA llamada IPA que emite certificados a través de IdM, autenticando como un host o usuario principal, para los certificados de host o servicio.

También existen dogtag-ipa-ca-renew-agent y dogtag-ipa-ca-renew-agent-reuse que renuevan los certificados del subsistema CA.

Nota

Ejecute estas pruebas en todos los servidores maestros de IdM cuando intente comprobar si hay problemas.