Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 48. Obtenção de um certificado IdM para um serviço utilizando o certmonger

48.1. Visão geral da Certmonger

O que faz certmonger

Quando a Gestão de Identidade (IdM) é instalada com uma Autoridade de Certificação IdM (CA) integrada, ela usa o serviço certmonger para rastrear e renovar certificados de sistema e de serviço. Quando o certificado está atingindo sua data de validade, certmonger gerencia o processo de renovação até:

  • regenerando um pedido de assinatura de certificado (CSR) usando as opções fornecidas no pedido original.
  • submetendo o CSR à IdM CA usando o comando IdM API cert-request.
  • recebendo o certificado da IdM CA.
  • executar um comando de pré-venda, se especificado pelo pedido original.
  • instalar o novo certificado no local especificado no pedido de renovação: ou em um banco de dados NSS ou em um arquivo.
  • executar um comando pós-venda, se especificado pelo pedido original. Por exemplo, o comando pós-venda pode instruir certmonger a reiniciar um serviço relevante, para que o serviço pegue o novo certificado.

Tipos de certificados certmonger faixas

Os certificados podem ser divididos em certificados de sistema e de serviço.

Ao contrário dos certificados de serviço (por exemplo, para HTTP, LDAP e PKINIT), que têm diferentes pares de chaves e nomes de assunto em diferentes servidores, os certificados do sistema IdM e suas chaves são compartilhados por todas as réplicas do CA. Os certificados do sistema IdM incluem:

  • IdM CA certificado
  • OCSP assinatura do certificado
  • IdM CA subsystem certificados
  • IdM CA audit signing certificado
  • IdM renewal agent (RA) certificado
  • KRA certificados de transporte e armazenamento

O serviço certmonger rastreia o sistema IdM e certificados de serviço que foram solicitados durante a instalação do ambiente IdM com uma CA integrada. Certmonger também rastreia certificados que foram solicitados manualmente pelo administrador do sistema para outros serviços executados no host do IdM. Certmonger não rastreia certificados externos da CA ou certificados de usuário.

Componentes Certmonger

O serviço certmonger consiste em dois componentes principais:

  • O certmonger daemon, que é o motor que rastreia a lista de certificados e comandos de renovação de lançamento
  • O utilitário getcert para o command-line interface (CLI), que permite ao administrador do sistema enviar comandos ativamente para o daemon certmonger.

Mais especificamente, o administrador do sistema pode usar o utilitário getcert para: