Red Hat Training
A Red Hat training course is available for RHEL 8
Capítulo 70. Verificación de certificados mediante IdM Healthcheck
Esta sección ayuda a comprender y utilizar la herramienta Healthcheck en la gestión de identidades (IdM) para identificar problemas con los certificados IPA mantenidos por certmonger.
Para más detalles, véase Healthcheck en IdM.
Requisitos previos
- La herramienta Healthcheck sólo está disponible en RHEL 8.1 y posteriores.
70.1. Certificados IdM Pruebas de chequeo
La herramienta Healthcheck incluye varias pruebas para verificar el estado de los certificados mantenidos por certmonger en Identity Management (IdM). Para obtener más información sobre certmonger, consulte Obtención de un certificado IdM para un servicio mediante certmonger.
Este conjunto de pruebas comprueba la caducidad, la validación, la confianza y otras cuestiones. Se pueden lanzar múltiples errores por el mismo problema subyacente.
Para ver todas las pruebas de certificados, ejecute la página ipa-healthcheck
con la opción --list-sources
:
# ipa-healthcheck --list-sources
Puede encontrar todas las pruebas en la fuente ipahealthcheck.ipa.certs
:
- IPACertmongerExpirationCheck
Esta prueba comprueba los vencimientos en
certmonger
.Si se informa de un error, el certificado ha caducado.
Si aparece una advertencia, el certificado expirará pronto. Por defecto, esta prueba se aplica dentro de los 28 días o menos antes de la expiración del certificado.
Puede configurar el número de días en el archivo
/etc/ipahealthcheck/ipahealthcheck.conf
. Después de abrir el archivo, cambie la opcióncert_expiration_days
situada en la sección por defecto.NotaCertmonger carga y mantiene su propia visión de la expiración del certificado. Esta comprobación no valida el certificado en disco.
- IPACertfileExpirationCheck
Esta prueba comprueba si el archivo de certificado o la base de datos NSS no pueden abrirse. Esta prueba también comprueba la caducidad. Por lo tanto, lea atentamente el atributo
msg
en la salida de error o advertencia. El mensaje especifica el problema.NotaEsta prueba comprueba el certificado en el disco. Si falta un certificado, es ilegible, etc., se puede producir un error por separado.
- IPACertNSSTrust
- Esta prueba compara la confianza de los certificados almacenados en las bases de datos del NSS. Para los certificados rastreados esperados en las bases de datos del NSS, la confianza se compara con un valor esperado y se genera un error en caso de no coincidencia.
- IPANSSChainValidation
-
Esta prueba valida la cadena de certificados del NSS. La prueba se ejecuta
certutil -V -u V -e -d [dbdir] -n [nickname]
- IPAOpenSSLChainValidation
Esta prueba valida la cadena de certificados de los certificados OpenSSL. Para que sea comparable con la validación de
NSSChain
aquí está el comando de OpenSSL que ejecutamos:openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [archivo cert]
- IPARAAgent
-
Esta prueba compara el certificado en disco con el registro equivalente en LDAP en
uid=ipara,ou=People,o=ipaca
. - IPACertRevocation
- Esta prueba utiliza certmonger para verificar que los certificados no han sido revocados. Por lo tanto, la prueba puede encontrar problemas relacionados con los certificados mantenidos por certmonger solamente.
- IPACertmongerCA
Esta prueba verifica la configuración de la Autoridad de Certificación (CA) de certmonger. IdM no puede emitir certificados sin CA.
Certmonger mantiene un conjunto de ayudantes de CA. En IdM, hay una CA llamada IPA que emite certificados a través de IdM, autenticando como un host o usuario principal, para los certificados de host o servicio.
También existen
dogtag-ipa-ca-renew-agent
ydogtag-ipa-ca-renew-agent-reuse
que renuevan los certificados del subsistema CA.
Ejecute estas pruebas en todos los servidores maestros de IdM cuando intente comprobar si hay problemas.