Chapitre 23. Vérification des certificats système à l'aide de IdM Healthcheck
Cette section décrit un outil de contrôle de santé dans la gestion des identités (IdM) qui permet d'identifier les problèmes liés aux certificats du système.
For details, see
23.1. Certificats de système Tests de contrôle de santé
L'outil Healthcheck comprend plusieurs tests de vérification des certificats du système (DogTag).
Pour voir tous les tests, exécutez le programme ipa-healthcheck avec l'option --list-sources:
# ipa-healthcheck --list-sources
Vous trouverez tous les tests sous la source ipahealthcheck.dogtag.ca:
- DogtagCertsConfigCheck
Ce test compare les certificats de l'autorité de certification (CA) dans sa base de données NSS aux mêmes valeurs stockées dans
CS.cfg. S'ils ne correspondent pas, l'autorité de certification ne démarre pas.Plus précisément, il vérifie :
-
auditSigningCert cert-pki-cacontreca.audit_signing.cert -
ocspSigningCert cert-pki-cacontreca.ocsp_signing.cert -
caSigningCert cert-pki-cacontreca.signing.cert -
subsystemCert cert-pki-cacontreca.subsystem.cert -
Server-Cert cert-pki-cacontreca.sslserver.cert
Si Key Recovery Authority (KRA) est installé :
-
transportCert cert-pki-kracontreca.connector.KRA.transportCert
-
- DogtagCertsConnectivityCheck (contrôle de connectivité)
Ce test vérifie la connectivité. Ce test est équivalent à la commande
ipa cert-show 1qui vérifie :- La configuration du proxy PKI dans Apache
- IdM capable de trouver une autorité de certification
- Le certificat du client de l'agent RA
- Exactitude des réponses de l'AC aux demandes
Notez que le test vérifie un certificat avec le numéro de série #1 parce que vous voulez vérifier qu'un
cert-showpeut être exécuté et obtenir un résultat attendu de la part de l'autorité de certification (soit le certificat, soit un résultat non trouvé).
Exécutez ces tests sur tous les serveurs IdM lorsque vous essayez de trouver un problème.
