第9章 IdM Healthcheck を使用したシステム証明書の検証
Healthcheck ツールを使用して Identity Management (IdM) のシステム証明書の問題を特定する方法について詳しく説明します。
詳細は IdM のヘルスチェック を参照してください。
前提条件
- Healthcheck ツールは、RHEL 8.1 以降でのみ利用できます。
9.1. システム証明書の Healthcheck テスト
Healthcheck ツールには、システム (DogTag) 証明書を検証するさまざまなテストがあります。
すべてのテストを表示するには、--list-sources オプションを指定して ipa-healthcheck を実行します。
# ipa-healthcheck --list-sources
すべてのテストは、ipahealthcheck.dogtag.ca ソースの下にあります。
- DogtagCertsConfigCheck
このテストでは、NSS データベース内の CA (認証局) 証明書を、
CS.cfgに保存されている同じ値と比較します。一致しない場合、CA は起動に失敗します。具体的には、以下を確認します。
-
ca.audit_signing.certの場合はauditSigningCert cert-pki-ca -
ca.ocsp_signing.certの場合はocspSigningCert cert-pki-ca -
ca.signing.certの場合はcaSigningCert cert-pki-ca -
ca.subsystem.certの場合はsubsystemCert cert-pki-ca -
ca.sslserver.certの場合はServer-Cert cert-pki-ca
Key Recovery Authority (KRA) がインストールされている場合は、以下を確認します。
-
ca.connector.KRA.transportCertの場合はtransportCert cert-pki-kra
-
- DogtagCertsConnectivityCheck
このテストでは、接続性を検証します。このテストは、以下の確認を行う
ipa cert-show 1コマンドと同等です。- Apache の PKI プロキシー設定
- IdM が CA を検出できること
- RA エージェントクライアント証明書
- 要求に対する CA 返信の正確性
このテストでは、
cert-showを実行して CA から期待される結果 (証明書または not found) が返されることを確認する必要があるため、シリアル番号 #1 の証明書がチェックされます。
注記
問題を確認するには、すべての IdM サーバーで上記のテストを実行します。
