# klist -kt /etc/dirsrv/ds.keytab
Keytab name: FILE:/etc/dirsrv/ds.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   2 01/10/2017 14:54:39 ldap/server.example.com@EXAMPLE.COM
   2 01/10/2017 14:54:39 ldap/server.example.com@EXAMPLE.COM
   [... output truncated ...]

1. 表示されているプリンシパルがシステムの FQDN に一致していることを確認します。
2. 上記の表示されているサービスキータブ内のキーのバージョン (KVNO) がサーバーのキータブにある KVNO と一致していることを確認します。サーバーのキータブを表示するには、以下を実行します。

   $ kinit admin
   $ kvno ldap/server.example.com@EXAMPLE.COM

3. クライアント上の正引き (A, AAAA, または両方) および逆引きレコードが表示されているシステム名およびサービスプリンシパルと一致することを確認します。

1. getcert list コマンドを使用して、certmonger ユーティリティーが追跡している証明書をすべて一覧表示します。
2. その出力で、IdM 管理証明書である ldap と httpd のサーバー証明書を見つけます。
3. status と expires のフィールドをチェックします。

   # getcert list
   Number of certificates and requests being tracked: 8.
   [... output truncated ...]
   Request ID '20170421124617':
   	status: MONITORING
   	stuck: no
   	key pair storage: type=NSSDB,location='/etc/dirsrv/slapd-IPA-EXAMPLE-COM',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/dirsrv/slapd-IPA-EXAMPLE-COM/pwdfile.txt'
   	certificate: type=NSSDB,location='/etc/dirsrv/slapd-IPA-EXAMPLE-COM',nickname='Server-Cert',token='NSS Certificate DB'
   	CA: IPA
   	issuer: CN=Certificate Authority,O=IPA.EXAMPLE.COM
   	subject: CN=ipa.example.com,O=IPA.EXAMPLE.COM
   	expires: 2019-04-22 12:46:17 UTC
   [... output truncated ...]
   Request ID '20170421130535':
   	status: MONITORING
   	stuck: no
   	key pair storage: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB',pinfile='/etc/httpd/alias/pwdfile.txt'
   	certificate: type=NSSDB,location='/etc/httpd/alias',nickname='Server-Cert',token='NSS Certificate DB'
   	CA: IPA
   	issuer: CN=Certificate Authority,O=IPA.EXAMPLE.COM
   	subject: CN=ipa.example.com,O=IPA.EXAMPLE.COM
   	expires: 2019-04-22 13:05:35 UTC
   [... output truncated ...]