Red Hat Training

A Red Hat training course is available for RHEL 8

48.5. Iniciar e parar o rastreamento de certificados

Esta seção descreve como você pode usar os comandos getcert stop-tracking e getcert start-tracking para monitorar os certificados. Os dois comandos são fornecidos pelo serviço certmonger. Habilitar o rastreamento de certificados é especialmente útil se você tiver importado um certificado emitido pela autoridade certificadora (CA) da Identity Management (IdM) para a máquina a partir de um cliente IdM diferente. A habilitação do rastreamento de certificados também pode ser a etapa final do seguinte cenário de provisionamento:

  1. No servidor da IdM, você cria um certificado para um sistema que ainda não existe.
  2. Você cria o novo sistema.
  3. Você cadastra o novo sistema como um cliente IdM.
  4. Você importa o certificado e a chave do servidor da IdM para o cliente da IdM.
  5. Você começa a rastrear o certificado usando certmonger para garantir que ele seja renovado quando estiver para expirar.

Procedimento

  • Para desativar o monitoramento de um certificado com o Request ID de 20190408143846: 

    # getcert stop-tracking -i 20190408143846

    Para mais opções, consulte a página de manual getcert stop-tracking.

  • Para permitir o monitoramento de um certificado armazenado no arquivo /tmp/some_cert.crt, cuja chave privada é armazenada no arquivo /tmp/some_key.key: 

    # getcert start-tracking -c IPA -f /tmp/some_cert.crt -k /tmp/some_key.key

    Certmonger não pode identificar automaticamente o tipo de CA que emitiu o certificado. Por este motivo, adicione a opção -c com o valor IPA ao comando getcert start-tracking se o certificado tiver sido emitido pela IDM CA. Omitir a adição da opção -c resulta em certmonger entrando no estado NEED_CA.

    Para mais opções, consulte a página de manual getcert start-tracking.

Nota

Os dois comandos não manipulam o certificado. Por exemplo, getcert stop-tracking não apaga o certificado ou o remove do banco de dados do NSS ou do sistema de arquivos, mas simplesmente remove o certificado da lista de certificados monitorados. Da mesma forma, getcert start-tracking apenas adiciona um certificado à lista de certificados monitorados.