Chapitre 22. Vérification des certificats à l'aide de IdM Healthcheck
Cette section aide à comprendre et à utiliser l'outil Healthcheck de la gestion des identités (IdM) pour identifier les problèmes liés aux certificats IPA gérés par certmonger.
Pour plus de détails, voir Healthcheck in IdM.
22.1. Certificats IdM Tests de contrôle de santé
L'outil Healthcheck comprend plusieurs tests permettant de vérifier l'état des certificats gérés par certmonger dans Identity Management (IdM). Pour plus d'informations sur certmonger, voir Obtention d'un certificat IdM pour un service à l'aide de certmonger.
Cette série de tests vérifie l'expiration, la validation, la confiance et d'autres aspects. Plusieurs erreurs peuvent être générées pour le même problème sous-jacent.
Pour voir tous les tests de certificats, exécutez le programme ipa-healthcheck avec l'option --list-sources:
# ipa-healthcheck --list-sources
Vous trouverez tous les tests sous la source ipahealthcheck.ipa.certs:
- IPACertmongerExpirationCheck (contrôle d'expiration)
Ce test vérifie les expirations dans
certmonger.Si une erreur est signalée, le certificat a expiré.
Si un avertissement apparaît, cela signifie que le certificat va bientôt expirer. Par défaut, ce test s'applique dans un délai de 28 jours ou moins avant l'expiration du certificat.
Vous pouvez configurer le nombre de jours dans le fichier
/etc/ipahealthcheck/ipahealthcheck.conf. Après avoir ouvert le fichier, modifiez l'optioncert_expiration_dayssituée dans la section default.NoteCertmonger charge et maintient sa propre vue de l'expiration du certificat. Cette vérification ne valide pas le certificat sur disque.
- IPACertfileExpirationCheck (vérification de l'expiration du fichier de certification)
Ce test vérifie si le fichier de certificat ou la base de données NSS ne peut pas être ouvert. Ce test vérifie également l'expiration. Par conséquent, lisez attentivement l'attribut
msgdans le message d'erreur ou d'avertissement. Le message précise le problème.NoteCe test vérifie le certificat sur disque. Si un certificat est manquant, illisible, etc., une erreur distincte peut également être soulevée.
- IPACertNSSTrust
- Ce test compare la confiance dans les certificats stockés dans les bases de données du NSS. Pour les certificats suivis attendus dans les bases de données du SSN, la confiance est comparée à une valeur attendue et une erreur est soulevée en cas de non-concordance.
- IPANSSChainValidation
-
Ce test valide la chaîne de certificats des certificats NSS. Le test s'exécute :
certutil -V -u V -e -d [dbdir] -n [nickname] - IPAOpenSSLChainValidation
Ce test valide la chaîne des certificats OpenSSL. Pour être comparable à la validation
NSSChain, voici la commande OpenSSL que nous exécutons :openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [fichier cert]
- IPARAAgent
-
Ce test compare le certificat sur disque avec l'enregistrement équivalent dans LDAP à l'adresse
uid=ipara,ou=People,o=ipaca. - IPACertRevocation
- Ce test utilise certmonger pour vérifier que les certificats n'ont pas été révoqués. Par conséquent, le test peut détecter les problèmes liés aux certificats gérés par certmonger uniquement.
- IPACertmongerCA
Ce test permet de vérifier la configuration de l'autorité de certification (AC) de certmonger. L'IdM ne peut pas délivrer de certificats sans autorité de certification.
Certmonger gère un ensemble d'aides d'AC. Dans IdM, il existe une autorité de certification nommée IPA qui délivre des certificats par l'intermédiaire d'IdM, en s'authentifiant en tant qu'hôte ou utilisateur principal, pour des certificats d'hôte ou de service.
Il y a aussi
dogtag-ipa-ca-renew-agentetdogtag-ipa-ca-renew-agent-reusequi renouvellent les certificats du sous-système de l'autorité de certification.
Exécutez ces tests sur tous les serveurs IdM lorsque vous essayez de vérifier s'il y a des problèmes.
