18.2. サブシステムのヘルスチェック
管理者は、次のような考えられる障害を定期的に監視することが重要です。
- 完全なディスクが起因する監査障害
- HSM 接続の問題が原因での署名失敗
- LDAP サーバー接続の問題
- などになります。
10章セルフテスト で説明されているとおり、セルフテストは必要に応じて実行することもできます。
PKI Healthcheck は、Certificate System 環境の状態に影響を与える可能性のある問題を見つけるために役立つコマンドラインツールです。必要に応じて、このツールは、Red Hat Identity Management に存在する Healthcheck ツールに報告できます。
18.2.1. PKI Healthcheck テストモジュール
PKI Healthcheck は、次の項目をテストする独立したモジュールで構成されています。
- CS.cfg と NSS データベースとの間の証明書同期
-
CS.cfg
(場所:/var/lib/pki/<instance>/<subsystem>/conf/CS.cfg
) および NSS データベースのシステム証明書 (場所:/var/lib/pki/<instance>/alias/
) を確認します。そうでない場合は、認証局 (CA) が起動できません。 - システム証明書の有効期限
- インストールされているシステム証明書の有効期限ステータスを確認します (詳細は、System Certificate を参照してください)。
- システムの証明書信頼フラグ
- インストールされたシステム証明書に正しい Trust フラグが付いているかどうかを確認します (詳細は、System Certificate を参照してください)。
- サブシステムの接続チェック
- サブシステムが実行中かどうかを確認し、要求に応答できるかどうかを確認します。
- サブシステムのクローン接続およびデータチェック
- 特定の CS サブシステム内で設定された一連のクローンの単純な接続とデータの健全性をチェックします。指定された CA サブシステムのセキュリティードメインは、設定されたクローンを識別するために参照されます。その後、チェックは各クローンにアクセスし、該当する場合はデータの健全性を検証します。
18.2.2. PKI Healthcheck 設定
PKI ヘルスチェックツールの設定は /etc/pki/healthcheck.conf
に保存されます。以下のようになります。
[global] plugin_timeout=300 cert_expiration_days=30 # Dogtag specific section [dogtag] instance_name=pki-tomcat
18.2.3. PKI Healthcheck の実行
-
ヘルスチェックを実行するには、
pki-healthcheck
コマンドを実行します。 特定のチェックを実行することもできます。以下に例を示します。
# pki-healthcheck --source pki.server.healthcheck.meta.csconfig --check DogtagCertsConfigCheck
可能なオプションの詳細は、man pki-healthcheck
の man ページを参照してください。
18.2.4. Healthcheck の出力形式
Healthcheck では、以下の出力が生成されます。これは、--output-type を使用して設定できます。
- デフォルトでは、マシンが判読できる JSON 形式の出力 (json)。
- または、人間が判読できる出力 (human)。
--output-file
オプションを使用して、代替ファイルの宛先を指定できます。
18.2.5. PKI Healthcheck の結果
レポートは、実行内容とステータスを説明するメッセージで構成されます。各ヘルスチェックモジュールは、次のいずれかの結果を返します。
- SUCCESS
- 予想どおりに設定され、チェックが実行され、問題が検出されない
- 警告
- エラーではありませんが、注目または評価する価値があります (証明書はまもなく有効期限が切れます)。
- ERROR
- 期待どおりに設定されておらず、何か問題がありますが、サーバーはまだ機能している可能性があります (クローンの競合など)
- CRITICAL
- 期待どおりに設定されておらず、影響を受ける可能性が高い (たとえば、サービスが開始されていない、証明書の有効期限が切れているなど)
ステータスが成功しない場合、メッセージには追加情報または推奨事項が含まれている可能性があります。これらは、管理者が問題を修正するために使用できます (たとえば、ファイルのパーミッションが間違っている、X が予期されているが Y が発生したなど)。