10장. IdM 상태 점검을 사용하여 인증서 확인
IdM(Identity Management)의 Healthcheck 툴을 이해하고 사용하여 certmonger
에서 유지 관리하는 IPA 인증서의 문제를 식별하는 방법에 대해 자세히 알아보십시오.
자세한 내용은 IdM의 상태 점검을 참조하십시오.
사전 요구 사항
- Healthcheck 도구는 RHEL 8.1 이상에서만 사용할 수 있습니다.
10.1. IdM 인증서 상태 점검 테스트
Healthcheck 도구에는 IdM(Identity Management)에서 certmonger가 유지 관리하는 인증서 상태를 확인하기 위한 여러 테스트가 포함되어 있습니다. certmonger에 대한 자세한 내용은 certmonger를 사용하여 서비스의 IdM 인증서 가져오기를 참조하십시오.
이 테스트 제품군은 만료, 검증, 신뢰 및 기타 문제를 확인합니다. 동일한 기본 문제에 대해 여러 오류가 발생할 수 있습니다.
모든 인증서 테스트를 보려면 --list
를 실행합니다.
-sources 옵션을 사용하여 ipa-
healthcheck
# ipa-healthcheck --list-sources
ipahealthcheck.ipa.certs 소스에서 모든 테스트를 찾을 수 있습니다.
- IPACertmongerExpirationCheck
이 테스트에서는
certmonger
의 만료를 확인합니다.오류가 보고되면 인증서가 만료됩니다.
경고가 나타나면 인증서가 곧 만료됩니다. 기본적으로 이 테스트는 인증서 만료일 전 28일 이내에 적용됩니다.
/etc/ipahealthcheck/ipahealthcheck.conf
파일에서 일 수를 구성할 수 있습니다. 파일을 열면 default 섹션에 있는cert_expiration_days
옵션을 변경합니다.참고certmonger는 인증서 만료의 자체 보기를 로드하고 유지합니다. 이 검사는 디스크에 있는 인증서의 유효성을 검사하지 않습니다.
- IPACertfileExpirationCheck
이 테스트에서는 인증서 파일 또는 NSS 데이터베이스를 열 수 없는지 확인합니다. 이 테스트도 만료를 확인합니다. 따라서 오류 또는 경고 출력에서
msg
특성을 주의 깊게 읽습니다. 메시지는 문제를 지정합니다.참고이 테스트는 디스크상의 인증서를 확인합니다. 인증서가 없으면 읽을 수 없음 등 별도의 오류도 발생할 수 있습니다.
- IPACertNSSTrust
- 이 테스트는 NSS 데이터베이스에 저장된 인증서의 신뢰성을 비교합니다. NSS 데이터베이스에서 예상되는 추적된 인증서의 경우 신뢰는 예상 값과 일치하지 않는 경우 발생한 오류와 비교됩니다.
- IPANSSChainValidation
-
이 테스트에서는 NSS 인증서의 인증서 체인의 유효성을 검사합니다. 테스트 실행:
certutil -V -u V -e -d [dbdir] -n [nickname]
- IPAOpenSSLChainValidation
이 테스트는 OpenSSL 인증서의 인증서 체인의 유효성을 검사합니다. 여기에서
NSS 검증
과 유사한 것은 OpenSSL 명령입니다.openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]
- IPARAAgent
-
이 테스트에서는 디스크의 인증서를
uid=ipara,ou=People,o=ipaca
의 LDAP에 있는 동등한 레코드와 비교합니다. - IPACertRevocation
- 이 테스트에서는 certmonger를 사용하여 인증서가 취소되지 않았는지 확인합니다. 따라서 테스트는 certmonger에서만 유지 관리하는 인증서와 연결된 문제를 찾을 수 있습니다.
- IPACertmongerCA
이 테스트는 certmonger CA(인증 기관) 구성을 확인합니다. IdM은 CA 없이 인증서를 발행할 수 없습니다.
certmonger는 일련의 CA 도우미를 유지 관리합니다. IdM에는 호스트 또는 서비스 인증서에 대해 호스트 또는 사용자 주체로 인증, IdM을 통한 인증서를 발행하는 IPA라는 CA가 있습니다.
CA 하위 시스템 인증서를 갱신
하는 dogtag-ipa-ca-renew
있습니다.-agent
및 dogtag-ipa-ca-renew-agent-reuse도
문제를 확인하려고 할 때 모든 IdM 서버에서 이러한 테스트를 실행합니다.