Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 70. Verificação de certificados usando o IdM Healthcheck

Esta seção ajuda na compreensão e uso da ferramenta Healthcheck no Gerenciamento de Identidade (IdM) para identificar problemas com certificados IPA mantidos pela certmonger.

Para detalhes, veja Healthcheck em IdM.

Pré-requisitos

  • A ferramenta Healthcheck está disponível apenas no RHEL 8.1 e mais recente.

70.1. Certificados IdM Testes de Healthcheck

A ferramenta Healthcheck inclui vários testes para verificar o status dos certificados mantidos pelo certmonger no Gerenciamento de Identidade (IdM). Para obter detalhes sobre certmonger, consulte Obtenção de um certificado IdM para um serviço usando o certmonger.

Este conjunto de testes verifica a expiração, validação, confiança e outras questões. Vários erros podem ser cometidos para o mesmo problema subjacente.

Para ver todos os testes de certificado, execute o ipa-healthcheck com a opção --list-sources: 

# ipa-healthcheck --list-sources

Você pode encontrar todos os testes sob a fonte ipahealthcheck.ipa.certs:

IPACertmongerExpirationCheck

Este teste verifica as expirações em certmonger.

Se um erro for relatado, o certificado expirou.

Se um aviso aparecer, o certificado expirará em breve. Por padrão, este teste se aplica dentro de 28 dias ou menos antes da expiração do certificado.

Você pode configurar o número de dias no arquivo /etc/ipahealthcheck/ipahealthcheck.conf. Após abrir o arquivo, altere a opção cert_expiration_days localizada na seção padrão.

Nota

A Certmonger carrega e mantém sua própria visão sobre a expiração do certificado. Esta verificação não valida o certificado em disco.

IPACertfileExpirationCheck

Este teste verifica se o arquivo do certificado ou banco de dados do NSS não pode ser aberto. Este teste também verifica a expiração. Portanto, leia atentamente o atributo msg na saída de erro ou aviso. A mensagem especifica o problema.

Nota

Este teste verifica o certificado em disco. Se um certificado estiver faltando, não legível, etc., um erro separado também pode ser detectado.

IPACertNSSTrust
Este teste compara a confiança para os certificados armazenados nos bancos de dados do NSS. Para os certificados rastreados esperados em bancos de dados NSS, a confiança é comparada a um valor esperado e a um erro levantado em um não-correspondência.
IPANSSChainValidation
Este teste valida a cadeia de certificados dos certificados do NSS. O teste é executado certutil -V -u V -e -d [dbdir] -n [nickname]
IPAOpenSSLChainValidation

Este teste valida a cadeia de certificados dos certificados OpenSSL. Para ser comparável à validação do NSSChain aqui é o comando OpenSSL que executamos: 

openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [arquivo cert]
IPARAAgent
Este teste compara o certificado em disco com o registro equivalente no LDAP em uid=ipara,ou=People,o=ipaca.
IPACertRevocation
Este teste utiliza o certmonger para verificar se os certificados não foram revogados. Portanto, o teste pode encontrar problemas relacionados a certificados mantidos somente por certmonger.
IPACertmongerCA

Este teste verifica a configuração da autoridade certificadora (CA). A IdM não pode emitir certificados sem a CA.

A Certmonger mantém um conjunto de ajudantes da CA. Na IdM, há uma CA chamada IPA que emite certificados através da IdM, autenticando-se como um principal anfitrião ou usuário, para certificados de anfitrião ou de serviço.

Há também dogtag-ipa-ca-renew-agent e dogtag-ipa-ca-renew-agent-reuse que renovam os certificados do subsistema CA.

Nota

Execute estes testes em todos os servidores principais da IdM ao tentar verificar a existência de problemas.