17.5. Démarrage et arrêt du suivi des certificats
Cette section décrit comment utiliser les commandes getcert stop-tracking
et getcert start-tracking
pour contrôler les certificats. Ces deux commandes sont fournies par le service certmonger
. L'activation du suivi des certificats est particulièrement utile si vous avez importé un certificat émis par l'autorité de certification (AC) de la gestion des identités (IdM) sur la machine à partir d'un autre client IdM. L'activation du suivi des certificats peut également constituer la dernière étape du scénario de provisionnement suivant :
- Sur le serveur IdM, vous créez un certificat pour un système qui n'existe pas encore.
- Vous créez le nouveau système.
- Vous inscrivez le nouveau système en tant que client IdM.
- Vous importez le certificat et la clé du serveur IdM sur le client IdM.
-
Vous commencez à suivre le certificat à l'aide de
certmonger
pour vous assurer qu'il est renouvelé lorsqu'il arrive à expiration.
Procédure
Pour désactiver la surveillance d'un certificat dont l'ID de demande est 20190408143846 :
# getcert stop-tracking -i 20190408143846
Pour plus d'options, voir la page de manuel
getcert stop-tracking
.Pour permettre la surveillance d'un certificat stocké dans le fichier
/tmp/some_cert.crt
, dont la clé privée est stockée dans le fichier/tmp/some_key.key
:# getcert start-tracking -c IPA -f /tmp/some_cert.crt -k /tmp/some_key.key
Certmonger
ne peut pas identifier automatiquement le type d'autorité de certification qui a émis le certificat. Pour cette raison, ajoutez l'option-c
avec la valeurIPA
à la commandegetcert start-tracking
si le certificat a été émis par l'autorité de certification IdM. Si l'option-c
n'est pas ajoutée,certmonger
entre dans l'état NEED_CA.Pour plus d'options, voir la page de manuel
getcert start-tracking
.
Les deux commandes ne manipulent pas le certificat. Par exemple, getcert stop-tracking
ne supprime pas le certificat ni ne le retire de la base de données NSS ou du système de fichiers, mais le retire simplement de la liste des certificats surveillés. De même, getcert start-tracking
ne fait qu'ajouter un certificat à la liste des certificats surveillés.