第23章 IdM Healthcheck を使用した証明書の検証
Identity Management (IdM) の Healthcheck ツールを使用し、certmonger
によって維持されている IPA 証明書の問題を特定する方法について詳しく説明します。
詳細は IdM のヘルスチェック を参照してください。
前提条件
- Healthcheck ツールは、RHEL 8.1 以降でのみ利用できます。
23.1. IdM 証明書の Healthcheck テスト
Healthcheck ツールには、Identity Management (IdM) の certmonger が維持する証明書の状況を確認するさまざまなテストが含まれています。certmonger の詳細は、certmonger を使用してサービスの IdM 証明書の取得 を参照してください。
この一連のテストでは、有効期限、検証、信頼性、その他の問題を確認します。根本的な問題 1 つに対して、複数のエラーが発生する可能性があります。
すべての証明書テストを表示するには、--list-sources
オプションを指定して ipa-healthcheck
を実行します。
# ipa-healthcheck --list-sources
すべてのテストは、ipahealthcheck.ipa.certs
ソースの下にあります。
- IPACertmongerExpirationCheck
このテストでは、
certmonger
の有効期限を確認します。証明書の有効期限が切れている場合は、エラーが報告されます。
証明書の有効期限が間近な場合は、警告が表示されます。デフォルトでは、このテストは、証明書の有効期限が 28 日以内のものを対象としています。
/etc/ipahealthcheck/ipahealthcheck.conf
ファイルで日数を設定できます。ファイルを開いた後、デフォルトセクションにあるcert_expiration_days
オプションを変更します。注記certmonger は、証明書の有効期限に関する独自のビューをロードして維持します。このチェックでは、ディスク上の証明書は検証されません。
- IPACertfileExpirationCheck
このテストでは、証明書ファイルまたは NSS データベースを開けないかどうかを確認します。このテストでは、有効期限も確認します。そのため、エラーまたは警告出力の
msg
属性をよく読んでください。このメッセージは問題を特定するものです。注記このテストでは、ディスク上の証明書が確認されます。証明書がない、読み取りができないなどの問題が発生した場合は、別のエラーが出力される可能性があります。
- IPACertNSSTrust
- このテストでは、NSS データベースに保存されている証明書の信頼を比較します。NSS データベースで期待される、追跡される証明書では、期待される値と信頼が比較されます。一致しないとエラーが発生します。
- IPANSSChainValidation
-
このテストでは、NSS 証明書の証明書チェーンを検証します。テストでは、
certutil -V -u V -e -d [dbdir] -n [nickname]
を実行します。 - IPAOpenSSLChainValidation
このテストでは、OpenSSL 証明書の証明書チェーンを検証します。
NSSChain
検証と比較するために、実行する OpenSSL コマンドを以下に示します。openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]
- IPARAAgent
-
このテストでは、ディスク上の証明書を、
uid=ipara,ou=People,o=ipaca
の LDAP の同等のレコードと比較します。 - IPACertRevocation
- このテストでは、certmonger を使用して、証明書が取り消されていないことを確認します。したがって、テストでは certmonger でのみメンテナンスされる証明書に接続している問題を見つけることができます。
- IPACertmongerCA
このテストでは、certmonger の認証局 (CA) の設定を検証します。IdM は、CA を使用しない証明書を発行できません。
certmonger は、CA ヘルパーのセットを維持します。IdM には、IPA という名前の CA があります。IPA は、IdM を介して証明書を発行し、ホストまたはサービスの証明書に対して、ホストまたはユーザーのプリンシパルとして認証します。
また、CA サブシステム証明書を更新する
dogtag-ipa-ca-renew-agent
およびdogtag-ipa-ca-renew-agent-reuse
があります。
問題を確認するには、すべての IdM サーバーで上記のテストを実行します。