Red Hat Training

A Red Hat training course is available for RHEL 8

第 83 章 使用 IdM Healthcheck 验证证书

本节帮助理解和使用身份管理(IdM)中的 Healthcheck 工具,以识别由 certmonger 维护的 IPA 证书的问题。

详情请查看 IdM 中的 Healthcheck

先决条件

  • Healthcheck 工具只在 RHEL 8.1 及更新版本中可用。

83.1. IdM 证书健康检查测试

Healthcheck 工具包括多个测试,用于验证 Identity Management(IdM)中由 certmonger 维护的证书状态。有关 certmonger 的详情,请参阅使用 certmonger 为服务获取 IdM 证书。

此测试套件检查过期、验证、信任和其他问题。对于相同的根本问题,可能会抛出多个错误。

要查看所有证书测试,请使用 --list -sources 选项运行 ipa- healthcheck

# ipa-healthcheck --list-sources

您可以在 ipahealthcheck.ipa.certs 源下找到所有测试:

IPACertmongerExpirationCheck

此测试检查 certmonger 中的过期时间

如果报告错误,证书已过期。

如果出现警告,证书很快就会过期。默认情况下,此测试在证书过期前 28 天或少于 28 天内适用。

您可以在 /etc/ipahealthcheck/ipahealthcheck.conf 文件中配置天数。打开该文件后,更改 default 部分中的 cert_expiration_days 选项。

注意

Certmonger 加载和维护自己的证书过期视图。此检查不会验证磁盘中的证书。

IPACertfileExpirationCheck

此测试检查证书文件或 NSS 数据库是否无法打开。此测试还会检查过期情况。因此,请仔细阅读错误或警告输出中的 msg 属性。消息指定了问题。

注意

此测试会检查磁盘中的证书。如果证书丢失、不可读取等单独错误,也可以引发单独的错误。

IPACertNSSTrust
此测试比较存储在 NSS 数据库中的证书的信任。对于 NSS 数据库中的预期跟踪证书,会将信任与预期值进行比较,并在不匹配时引发错误。
IPANSSChainValidation
此测试会验证 NSS 证书的证书链。测试执行: certutil -V -u V -e -d [dbdir] -n [nickname]
IPAOpenSSLChainValidation

此测试会验证 OpenSSL 证书的证书链。与 NSSChain 验证相当的 OpenSSL 命令是我们执行的 OpenSSL 命令:

openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]
IPARAAgent
此测试将磁盘上的证书与 LDAP in uid=ipara,ou=People,o=ipaca 中的等效记录进行比较。
IPACertRevocation
此测试使用 certmonger 验证证书是否已被撤销。因此,测试只能查找与 certmonger 维护的证书连接的问题。
IPACertmongerCA

此测试将验证证书授权机构(CA)配置。IdM 无法在没有 CA 的情况下发布证书。

Certmonger 维护一组 CA 帮助程序。在 IdM 中,有一个名为 IPA 的 CA,它通过 IdM 发布证书,它作为主机或用户主体进行身份验证,用于主机或服务证书。

还有一个 dogtag-ipa-ca-renew-agentdogtag-ipa-ca-renew-agent-reuse (续订 CA 子系统证书)

注意

当尝试检查问题时,在所有 IdM 服务器中运行这些测试。