Red Hat SummitCapítulo 48. Obtención de un certificado IdM para un servicio mediante certmonger
48.1. Resumen de Certmonger
Qué hace certmonger
Cuando la Gestión de Identidades (IdM) se instala con una Autoridad de Certificados (CA) IdM integrada, utiliza el servicio certmonger para rastrear y renovar los certificados de sistema y de servicio. Cuando el certificado está llegando a su fecha de caducidad, certmonger gestiona el proceso de renovación mediante:
- regenerar una solicitud de firma de certificado (CSR) utilizando las opciones proporcionadas en la solicitud original.
-
enviando la CSR a la CA de IdM mediante el comando de la API de IdM
cert-request. - recibir el certificado de la CA IdM.
- ejecutando un comando de pre-salvado si se especifica en la solicitud original.
-
instalar el nuevo certificado en la ubicación especificada en la solicitud de renovación: en una base de datos
NSSo en un archivo. -
ejecutar un comando post-save si se especifica en la solicitud original. Por ejemplo, el comando post-save puede indicar a
certmongerque reinicie un servicio relevante, para que el servicio recoja el nuevo certificado.
Tipos de certificados certmonger pistas
Los certificados pueden dividirse en certificados de sistema y de servicio.
A diferencia de los certificados de servicio (por ejemplo, para HTTP, LDAP y PKINIT), que tienen diferentes pares de claves y nombres de asunto en diferentes servidores, los certificados de sistema IdM y sus claves son compartidos por todas las réplicas de CA. Los certificados del sistema IdM incluyen:
-
IdM CAcertificado -
OCSPcertificado de firma -
IdM CA subsystemcertificados -
IdM CA audit signingcertificado -
IdM renewal agent(RA) certificado -
KRAcertificados de transporte y almacenamiento
El servicio certmonger realiza un seguimiento de los certificados del sistema IdM y de los servicios que se solicitaron durante la instalación del entorno IdM con una CA integrada. Certmonger también realiza un seguimiento de los certificados que ha solicitado manualmente el administrador del sistema para otros servicios que se ejecutan en el host IdM. Certmonger no realiza un seguimiento de los certificados de CA externas ni de los certificados de usuario.
Componentes de Certmonger
El servicio certmonger consta de dos componentes principales:
-
El
certmonger daemon, que es el motor que rastrea la lista de certificados y lanza comandos de renovación -
La utilidad
getcertpara elcommand-line interface(CLI), que permite al administrador del sistema enviar activamente comandos al demoniocertmonger.
Más concretamente, el administrador del sistema puede utilizar la utilidad getcert para:
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}