Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 71. Verificación de los certificados del sistema mediante IdM Healthcheck

Esta sección describe una herramienta de comprobación de la salud en la gestión de identidades (IdM) para identificar problemas con los certificados del sistema.

Para más detalles, véase Healthcheck en IdM.

Requisitos previos

  • La herramienta Healthcheck sólo está disponible en RHEL 8.1 o más reciente.

71.1. Certificados del sistema Pruebas de chequeo

La herramienta Healthcheck incluye varias pruebas para verificar los certificados del sistema (DogTag).

Para ver todas las pruebas, ejecute la página ipa-healthcheck con la opción --list-sources: 

# ipa-healthcheck --list-sources

Puede encontrar todas las pruebas en la fuente ipahealthcheck.dogtag.ca:

DogtagCertsConfigCheck

Esta prueba compara los certificados de la CA (Autoridad de Certificación) en su base de datos NSS con los mismos valores almacenados en CS.cfg. Si no coinciden, la CA no se inicia.

En concreto, comprueba:

  • auditSigningCert cert-pki-ca contra ca.audit_signing.cert
  • ocspSigningCert cert-pki-ca contra ca.ocsp_signing.cert
  • caSigningCert cert-pki-ca contra ca.signing.cert
  • subsystemCert cert-pki-ca contra ca.subsystem.cert
  • Server-Cert cert-pki-ca contra ca.sslserver.cert

Si la Autoridad de Recuperación de Claves (KRA) está instalada:

  • transportCert cert-pki-kra contra ca.connector.KRA.transportCert
DogtagCertsConnectivityCheck

Esta prueba verifica la conectividad. Esta prueba es equivalente al comando ipa cert-show 1 que comprueba:

  • La configuración del proxy PKI en Apache
  • El IdM es capaz de encontrar una CA
  • El certificado de cliente del agente RA
  • Corrección de las respuestas de la AC a las solicitudes

Tenga en cuenta que la prueba comprueba un certificado con el número de serie 1 porque quiere verificar que se puede ejecutar un cert-show y obtener un resultado esperado de la CA (el certificado o un no encontrado).

Nota

Realice estas pruebas en todos los servidores maestros de IdM cuando intente encontrar un problema.