Red Hat Training

A Red Hat training course is available for RHEL 8

第 84 章 使用 IdM Healthcheck 验证系统证书

本节论述了 Identity Management(IdM)中的 Healthcheck 工具来识别系统证书的问题。

详情请查看 IdM 中的 Healthcheck

先决条件

  • Healthcheck 工具仅在 RHEL 8.1 或更新版本中可用。

84.1. 系统证书健康检查测试

Healthcheck 工具包括一些用于验证系统(DogTag)证书的测试。

要查看所有测试,请使用 --list -sources 选项运行 ipa- healthcheck

# ipa-healthcheck --list-sources

您可以在 ipahealthcheck.dogtag.ca 源下找到所有测试:

DogtagCertsConfigCheck

此测试将其 NSS 数据库中的 CA(证书授权机构)证书与存储在 CS.cfg 中的相同值进行比较。如果不匹配,CA 无法启动。

具体来说,它会检查:

  • auditSigningCert cert-pki-ca against ca.audit_signing.cert
  • ocspSigningCert cert-pki-ca against ca.ocsp_signing.cert
  • caSigningCert cert-pki-ca against ca.signing.cert
  • subsystemCert cert-pki-ca against ca.subsystem.cert
  • 针对 ca .sslserver.cert 的 server-Cert cert-pki-ca

如果安装了 Key Recovery Authority(KRA):

  • transportCert cert-pki-kra against ca.connector.KRA.transportCert
DogtagCertsConnectivityCheck

此测试验证连接性。这个测试等同于检查的 ipa cert-show 1 命令:

  • Apache 中的 PKI 代理配置
  • IdM 能够找到 CA
  • RA 代理客户端证书
  • CA 回复请求的正确性

请注意,测试会使用 serial #1 检查证书,因为您要验证是否 可以执行证书 并返回 CA 中的预期结果(证书或未找到)。

注意

当尝试找到问题时,在所有 IdM 服务器中运行这些测试。