Capítulo 48. Obtenção de um certificado IdM para um serviço utilizando o certmonger
48.1. Visão geral da Certmonger
O que faz certmonger
Quando a Gestão de Identidade (IdM) é instalada com uma Autoridade de Certificação IdM (CA) integrada, ela usa o serviço certmonger
para rastrear e renovar certificados de sistema e de serviço. Quando o certificado está atingindo sua data de validade, certmonger
gerencia o processo de renovação até:
- regenerando um pedido de assinatura de certificado (CSR) usando as opções fornecidas no pedido original.
-
submetendo o CSR à IdM CA usando o comando IdM API
cert-request
. - recebendo o certificado da IdM CA.
- executar um comando de pré-venda, se especificado pelo pedido original.
-
instalar o novo certificado no local especificado no pedido de renovação: ou em um banco de dados
NSS
ou em um arquivo. -
executar um comando pós-venda, se especificado pelo pedido original. Por exemplo, o comando pós-venda pode instruir
certmonger
a reiniciar um serviço relevante, para que o serviço pegue o novo certificado.
Tipos de certificados certmonger
faixas
Os certificados podem ser divididos em certificados de sistema e de serviço.
Ao contrário dos certificados de serviço (por exemplo, para HTTP
, LDAP
e PKINIT
), que têm diferentes pares de chaves e nomes de assunto em diferentes servidores, os certificados do sistema IdM e suas chaves são compartilhados por todas as réplicas do CA. Os certificados do sistema IdM incluem:
-
IdM CA
certificado -
OCSP
assinatura do certificado -
IdM CA subsystem
certificados -
IdM CA audit signing
certificado -
IdM renewal agent
(RA) certificado -
KRA
certificados de transporte e armazenamento
O serviço certmonger
rastreia o sistema IdM e certificados de serviço que foram solicitados durante a instalação do ambiente IdM com uma CA integrada. Certmonger
também rastreia certificados que foram solicitados manualmente pelo administrador do sistema para outros serviços executados no host do IdM. Certmonger
não rastreia certificados externos da CA ou certificados de usuário.
Componentes Certmonger
O serviço certmonger
consiste em dois componentes principais:
-
O
certmonger daemon
, que é o motor que rastreia a lista de certificados e comandos de renovação de lançamento -
O utilitário
getcert
para ocommand-line interface
(CLI), que permite ao administrador do sistema enviar comandos ativamente para o daemoncertmonger
.
Mais especificamente, o administrador do sistema pode usar o utilitário getcert
para: