第 24 章 使用 IdM Healthcheck 验证系统证书
了解如何使用 Healthcheck 工具识别与身份管理(IdM)中系统证书相关的问题。
详情请查看 IdM 中的 Healthcheck。
先决条件
- Healthcheck 工具仅在 RHEL 8.1 或更新版本中可用。
24.1. 系统证书健康检查测试
Healthcheck 工具包括一些用于验证系统(DogTag)证书的测试。
要查看所有测试,请运行带有 --list-sources 选项的 ipa-healthcheck :
# ipa-healthcheck --list-sources
您可以在 ipahealthcheck.dogtag.ca 源下找到所有测试:
- DogtagCertsConfigCheck
此测试将其 NSS 数据库中的 CA(证书授权机构)证书与存储在
CS.cfg中的相同值进行比较。如果不匹配,CA 无法启动。具体来说,它会检查:
-
auditSigningCert cert-pki-caagainstca.audit_signing.cert -
ocspSigningCert cert-pki-caagainstca.ocsp_signing.cert -
caSigningCert cert-pki-caagainstca.signing.cert -
subsystemCert cert-pki-caagainstca.subsystem.cert -
针对
ca.sslserver.cert的Server-Cert cert-pki-ca
如果安装了 Key Recovery Authority(KRA):
-
transportCert cert-pki-kraagainstca.connector.KRA.transportCert
-
- DogtagCertsConnectivityCheck
此测试验证连接性。这个测试等同于检查的
ipa cert-show 1命令:- Apache 中的 PKI 代理配置
- IdM 能够找到 CA
- RA 代理客户端证书
- CA 回复请求的正确性
请注意,测试会使用 serial #1 检查证书,因为您要验证是否
可以执行证书并返回 CA 中的预期结果(证书或未找到)。
注意
当尝试找到问题时,在所有 IdM 服务器中运行这些测试。
