Red Hat Summit第24章 IdM Healthcheck を使用した証明書の検証
Identity Management (IdM)の Healthcheck ツールを使用し、certmonger ユーティリティーが維持する IdM 証明書の問題を特定する方法について詳しく説明します。
24.1. IdM 証明書の Healthcheck テスト
Healthcheck ツールには、Identity Management (IdM)の certmonger が維持する証明書の状況を確認するさまざまなテストが含まれています。certmonger の詳細は、certmonger を使用したサービスの IdM 証明書の取得 を参照してください。
この一連のテストでは、証明書の有効期限、検証、信頼、およびその他の設定を確認します。Healthcheck は、根本的な問題に対して複数のエラーを報告することができます。
これらの証明書テストは、ipa-healthcheck --list-sources コマンドの出力の ipahealthcheck.ipa.certs ソースで確認できます。
- IPACertmongerExpirationCheck
このテストでは、
certmongerの有効期限を確認します。証明書の有効期限が切れている場合は、エラーが報告されます。
証明書の有効期限が間もなく、警告が表示されます。デフォルトでは、テストが 28 日前または証明書の有効期限より前に実行されると、警告が表示されます。
/etc/ipahealthcheck/ipahealthcheck.confファイルで日数を設定できます。ファイルを開いた後、デフォルトセクションにあるcert_expiration_daysオプションを変更します。注記certmongerは証明書の有効期限に関する独自のビューを読み込み、維持します。このチェックでは、ディスク上の証明書は検証されません。- IPACertfileExpirationCheck
このテストでは、証明書ファイルまたは NSS データベースに正しいアクセス権限が設定されているかどうかを確認します。このテストでは、有効期限も確認します。そのため、エラーまたは警告出力の
msg属性をよく読んでください。このメッセージは問題を特定するものです。注記このテストでは、ディスク上の証明書が確認されます。証明書が見つからない、または読み取りができない場合、Healthcheck はエラーを返します。
- IPACertNSSTrust
- このテストでは、NSS データベースに保存されている証明書の信頼を分析します。NSS データベースで想定される追跡証明書の場合、Healthcheck は信頼と想定される値を比較し、一致しない場合にエラーが発生します。
- IPANSSChainValidation
-
このテストでは、NSS 証明書の証明書チェーンを検証します。このテストでは、
certutil -V -u V -e -d [dbdir] -n [nickname]コマンドを実行します。 - IPAOpenSSLChainValidation
このテストでは、OpenSSL 証明書の証明書チェーンを検証します。具体的には、Healthcheck は以下の OpenSSL コマンドを実行します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]
openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]- IPARAAgent
-
このテストでは、ディスク上の証明書を、
uid=ipara,ou=People,o=ipacaの LDAP の同等のレコードと比較します。 - IPACertRevocation
-
このテストでは、
certmongerによって維持されている証明書が取り消されていないことを確認します。 - IPACertmongerCA
このテストでは、
certmongerの認証局(CA)の設定を検証します。IdM は、CA を使用しない証明書を発行できません。certmongerは、CA ヘルパーのセットを維持します。IPAという名前の CA は、IdM 経由でホストやサービスの証明書を発行し、ホストまたはユーザープリンシパルとして認証します。また、CA サブシステム証明書を更新する
dogtag-ipa-ca-renew-agentおよびdogtag-ipa-ca-renew-agent-reuseがあります。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}