Red Hat Summit10장. IdM 상태 점검을 사용하여 인증서 확인
IdM(Identity Management)의 Healthcheck 툴을 이해하고 사용하여 certmonger 유틸리티에서 유지 관리하는 IdM 인증서 문제를 식별합니다.
사전 요구 사항
- 상태 점검 툴은 RHEL 8.1 이상에서만 사용할 수 있습니다.
10.1. IdM 인증서 상태 점검 테스트
Healthcheck 툴에는 IdM(Identity Management)의 certmonger 에서 유지 관리하는 인증서의 상태를 확인하기 위한 여러 테스트가 포함되어 있습니다. certmonger에 대한 자세한 내용은 certmonger 를 사용하여 서비스의 IdM 인증서 가져오기를 참조하십시오.
이 테스트 제품군은 인증서 만료, 검증, 신뢰 및 기타 구성을 확인합니다. Healthcheck는 동일한 기본 문제에 대해 여러 오류를 보고할 수 있습니다.
ipa-healthcheck --list-sources 명령의 출력에서 ipahealthcheck.ipa.certs 소스에서 이러한 인증서 테스트를 찾을 수 있습니다.
- IPACertmongerExpirationCheck
이 테스트에서는
certmonger의 만료를 확인합니다.오류가 보고되면 인증서가 만료됩니다.
경고가 표시되면 인증서가 곧 만료됩니다. 테스트의 인증서 만료 전 28일 이하이면 기본적으로 경고가 표시됩니다.
/etc/ipahealthcheck/ipahealthcheck.conf파일에서 일 수를 구성할 수 있습니다. 파일을 연 후default섹션에 있는cert_expiration_days옵션을 변경합니다.참고certmonger는 인증서 만료에 대한 자체 보기를 로드하고 유지 관리합니다. 이 검사에서는 디스크상의 인증서의 유효성을 검사하지 않습니다.- IPACertfileExpirationCheck
이 테스트에서는 인증서 파일 또는 NSS 데이터베이스에 올바른 액세스 권한이 구성되어 있는지 확인합니다. 이 테스트에서는 만료도 확인합니다. 따라서 오류 또는 경고 출력에서
msg속성을 주의 깊게 읽습니다. 메시지는 문제를 지정합니다.참고이 테스트에서는 디스크상의 인증서를 확인합니다. 인증서가 없거나 읽을 수 없는 경우 Healthcheck에서 오류를 반환합니다.
- IPACertNSSTrust
- 이 테스트에서는 NSS 데이터베이스에 저장된 인증서에 대한 신뢰를 분석합니다. NSS 데이터베이스에서 예상되는 추적된 인증서의 경우 Healthcheck은 신뢰를 예상 값과 비교하고 일치하지 않는 인증서에서 오류가 발생합니다.
- IPANSS CryostatValidation
-
이 테스트에서는 NSS 인증서의 인증서 체인의 유효성을 검사합니다. 이 테스트에서는
certutil -V -u V -e -d [dbdir] -n [nickname]명령을 실행합니다. - IPAOpenSSLChainValidation
이 테스트에서는 OpenSSL 인증서의 인증서 체인의 유효성을 검사합니다. 특히 Healthcheck는 다음 OpenSSL 명령을 실행합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]
openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]- IPARAAgent
-
이 테스트는 디스크의 인증서를
uid=ipara,ou=People,o=ipaca의 LDAP의 동등한 레코드와 비교합니다. - IPACertRevocation
-
이 테스트에서는
certmonger에서 유지 관리하는 인증서가 취소되지 않았는지 확인합니다. - IPACertmongerCA
이 테스트는 CA(
인증기관) 구성을 확인합니다. IdM은 CA 없이 인증서를 발행할 수 없습니다.certmonger는 CA 도우미 세트를 유지 관리합니다.IPA라는 CA는 IdM을 통해 호스트 또는 서비스의 인증서를 발행하여 호스트 또는 사용자 주체로 인증합니다.CA 하위 시스템 인증서를 갱신하는
dogtag-ipa-ca-renew도 있습니다.-agent및 dogtag-ipa-renew-agent-reuse
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}