第9章 IdM Healthcheck を使用したシステム証明書の検証
Healthcheck ツールを使用して Identity Management (IdM) のシステム証明書の問題を特定する方法を詳しく説明します。
詳細は以下を参照してください。
9.1. システム証明書の Healthcheck テスト
Healthcheck ツールには、システム (DogTag) 証明書を検証するさまざまなテストがあります。
すべてのテストを表示するには、--list-sources
オプションを指定して ipa-healthcheck
を実行します。
# ipa-healthcheck --list-sources
すべてのテストは、ipahealthcheck.dogtag.ca
ソースの下にあります。
- DogtagCertsConfigCheck
このテストでは、NSS データベース内の CA (認証局) 証明書を、
CS.cfg
に保存されている同じ値と比較します。一致しない場合、CA は起動に失敗します。具体的には、以下を確認します。
-
ca.audit_signing.cert
の場合はauditSigningCert cert-pki-ca
-
ca.ocsp_signing.cert
の場合はocspSigningCert cert-pki-ca
-
ca.signing.cert
の場合はcaSigningCert cert-pki-ca
-
ca.subsystem.cert
の場合はsubsystemCert cert-pki-ca
-
ca.sslserver.cert
の場合はServer-Cert cert-pki-ca
Key Recovery Authority (KRA) がインストールされている場合は、以下を確認します。
-
ca.connector.KRA.transportCert
の場合はtransportCert cert-pki-kra
-
- DogtagCertsConnectivityCheck
このテストでは、接続性を検証します。このテストは、以下の確認を行う
ipa cert-show 1
コマンドと同等です。- Apache の PKI プロキシー設定
- IdM が CA を検出できること
- RA エージェントクライアント証明書
- 要求に対する CA 返信の正確性
このテストでは、
cert-show
を実行して CA から期待される結果 (証明書または not found) が返されることを確認する必要があるため、シリアル番号 #1 の証明書がチェックされます。
問題を確認するには、すべての IdM サーバーで上記のテストを実行してください。