Red Hat Summit29장. IdM 상태 점검을 사용하여 인증서 확인
IdM(Identity Management)의 Healthcheck 툴을 이해하고 사용하여 certmonger 유틸리티에서 유지 관리하는 IdM 인증서 문제를 식별합니다.
29.1. IdM 인증서 상태 점검 테스트
Healthcheck 툴에는 IdM(Identity Management)의 certmonger 에서 유지 관리하는 인증서의 상태를 확인하기 위한 여러 테스트가 포함되어 있습니다. certmonger에 대한 자세한 내용은 certmonger 를 사용하여 서비스의 IdM 인증서 가져오기를 참조하십시오.
이 테스트 제품군은 인증서 만료, 검증, 신뢰 및 기타 구성을 확인합니다. Healthcheck는 동일한 기본 문제에 대해 여러 오류를 보고할 수 있습니다.
ipa-healthcheck --list-sources 명령의 출력에서 ipahealthcheck.ipa.certs 소스에서 이러한 인증서 테스트를 찾을 수 있습니다.
- IPACertmongerExpirationCheck
이 테스트에서는
certmonger의 만료를 확인합니다.오류가 보고되면 인증서가 만료됩니다.
경고가 표시되면 인증서가 곧 만료됩니다. 테스트의 인증서 만료 전 28일 이하이면 기본적으로 경고가 표시됩니다.
/etc/ipahealthcheck/ipahealthcheck.conf파일에서 일 수를 구성할 수 있습니다. 파일을 연 후default섹션에 있는cert_expiration_days옵션을 변경합니다.참고certmonger는 인증서 만료에 대한 자체 보기를 로드하고 유지 관리합니다. 이 검사에서는 디스크상의 인증서의 유효성을 검사하지 않습니다.- IPACertfileExpirationCheck
이 테스트에서는 인증서 파일 또는 NSS 데이터베이스에 올바른 액세스 권한이 구성되어 있는지 확인합니다. 이 테스트에서는 만료도 확인합니다. 따라서 오류 또는 경고 출력에서
msg속성을 주의 깊게 읽습니다. 메시지는 문제를 지정합니다.참고이 테스트에서는 디스크상의 인증서를 확인합니다. 인증서가 없거나 읽을 수 없는 경우 Healthcheck에서 오류를 반환합니다.
- IPACertNSSTrust
- 이 테스트에서는 NSS 데이터베이스에 저장된 인증서에 대한 신뢰를 분석합니다. NSS 데이터베이스에서 예상되는 추적된 인증서의 경우 Healthcheck은 신뢰를 예상 값과 비교하고 일치하지 않는 인증서에서 오류가 발생합니다.
- IPANSS CryostatValidation
-
이 테스트에서는 NSS 인증서의 인증서 체인의 유효성을 검사합니다. 이 테스트에서는
certutil -V -u V -e -d [dbdir] -n명령을 실행합니다. - IPAOpenSSLChainValidation
이 테스트에서는 OpenSSL 인증서의 인증서 체인의 유효성을 검사합니다. 특히 Healthcheck는 다음 OpenSSL 명령을 실행합니다.
openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]
openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]Copy to Clipboard Copied! Toggle word wrap Toggle overflow - IPARAAgent
-
이 테스트는 디스크의 인증서를
uid=ipara,ou=People,o=ipaca의 LDAP의 동등한 레코드와 비교합니다. - IPACertRevocation
-
이 테스트에서는
certmonger에서 유지 관리하는 인증서가 취소되지 않았는지 확인합니다. - IPACertmongerCA
이 테스트는 CA(
인증기관) 구성을 확인합니다. IdM은 CA 없이 인증서를 발행할 수 없습니다.certmonger는 CA 도우미 세트를 유지 관리합니다.IPA라는 CA는 IdM을 통해 호스트 또는 서비스의 인증서를 발행하여 호스트 또는 사용자 주체로 인증합니다.CA 하위 시스템 인증서를 갱신하는
dogtag-ipa-ca-renew도 있습니다.-agent및 dogtag-ipa-renew-agent-reuse
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}