検索

22.2. サブシステムのヘルスチェック

download PDF
管理者は、次のような考えられる障害を定期的に監視することが重要です。
  • 完全なディスクが起因する監査障害
  • HSM 接続の問題が原因での署名失敗
  • LDAP サーバー接続の問題
  • などになります。
セルフテストは、「セルフテストの実行」で説明されているように要求で実行することもできます。

22.2.1. PKI の Healthcheck

PKI Healthcheck は、Certificate System 環境の状態に影響を与える可能性のある問題を見つけるのに役立つコマンドラインツールです。必要に応じて、このツールは、Red Hat Identity Management に存在する Healthcheck ツールに報告できます。

22.2.1.1. PKI Healthcheck テストモジュール

PKI Healthcheck は、以下をテストする独立したモジュールで構成されています。
  • CS.cfg と NSS データベースとの間の証明書同期
    (/var/lib/pki/<instance>/<subsystem>/conf/CS.cfg にある) CS.cfg および (/var/lib/pki/<instance>/alias/ にある) NSS データベースのシステム証明書を確認します。そうでない場合は、認証局 (CA) が起動できません。
  • システム証明書の有効期限
    インストールされているシステム証明書の有効期限ステータスを確認します (詳細は、System Certificate を参照してください)。
  • システムの証明書信頼フラグ
    インストールされたシステム証明書に正しい Trust フラグが付いているかどうかを確認します (詳細は、System Certificate を参照してください)。
  • サブシステムの接続チェック
    サブシステムが実行中かどうかを確認し、要求に応答できるかどうかを確認します。
  • サブシステムのクローン接続およびデータチェック
    特定の CS サブシステム内で設定された一連のクローンの単純な接続とデータの健全性をチェックします。指定された CA サブシステムのセキュリティードメインは、設定されたクローンを識別するために参照されます。その後、チェックは各クローンにアクセスし、該当する場合はデータの健全性を検証します。

22.2.1.2. PKI Healthcheck 設定

PKI ヘルスチェックツールの設定は /etc/pki/healthcheck.conf に保存されます。以下のようになります。
[global]
		      plugin_timeout=300
		      cert_expiration_days=30

		      # Dogtag specific section
		      [dogtag]
		      instance_name=pki-tomcat

22.2.1.3. PKI Healthcheck の実行

  • ヘルスチェックを実行するには、pki-healthcheck コマンドを実行します。
  • 特定のチェックを実行することもできます。以下に例を示します。
    # pki-healthcheck --source pki.server.healthcheck.meta.csconfig --check DogtagCertsConfigCheck
可能なオプションの詳細は、man ページ man pki-healthcheck を参照してください。

22.2.1.4. Healthcheck の出力形式

ヘルスチェックでは、以下の出力が生成されます。これは、output-type を使用して設定できます。
  • デフォルトでは、マシンが判読できる出力 (JSON 形式 json)
  • または、人間が判読できる出力 (human)。
--output-file オプションを使用して、代替ファイルの宛先を指定できます。

22.2.1.5. Healthcheck の結果

レポートは、実行内容とステータスを説明するメッセージで構成されます。Healthcheck の各モジュールは、次のいずれかの結果を返します。
SUCCESS
予想どおりに設定され、チェックが実行され、問題が検出されない
警告
エラーではありませんが、注目または評価する価値があります (証明書はまもなく有効期限が切れます)。
ERROR
期待どおりに設定されておらず、何か問題がありますが、サーバーはまだ機能している可能性があります (クローンの競合など)
CRITICAL
期待どおりに設定されておらず、影響を受ける可能性が高い (たとえば、サービスが開始されていない、証明書の有効期限が切れているなど)
ステータスが成功しない場合、メッセージには追加情報または推奨事項が含まれている可能性があります。これらは、管理者が問題を修正するために使用できます (たとえば、ファイルのパーミッションが間違っている、X が予期されているが Y が発生したなど)。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.