Capítulo 70. Verificação de certificados usando o IdM Healthcheck
Esta seção ajuda na compreensão e uso da ferramenta Healthcheck no Gerenciamento de Identidade (IdM) para identificar problemas com certificados IPA mantidos pela certmonger.
Para detalhes, veja Healthcheck em IdM.
Pré-requisitos
- A ferramenta Healthcheck está disponível apenas no RHEL 8.1 e mais recente.
70.1. Certificados IdM Testes de Healthcheck
A ferramenta Healthcheck inclui vários testes para verificar o status dos certificados mantidos pelo certmonger no Gerenciamento de Identidade (IdM). Para obter detalhes sobre certmonger, consulte Obtenção de um certificado IdM para um serviço usando o certmonger.
Este conjunto de testes verifica a expiração, validação, confiança e outras questões. Vários erros podem ser cometidos para o mesmo problema subjacente.
Para ver todos os testes de certificado, execute o ipa-healthcheck
com a opção --list-sources
:
# ipa-healthcheck --list-sources
Você pode encontrar todos os testes sob a fonte ipahealthcheck.ipa.certs
:
- IPACertmongerExpirationCheck
Este teste verifica as expirações em
certmonger
.Se um erro for relatado, o certificado expirou.
Se um aviso aparecer, o certificado expirará em breve. Por padrão, este teste se aplica dentro de 28 dias ou menos antes da expiração do certificado.
Você pode configurar o número de dias no arquivo
/etc/ipahealthcheck/ipahealthcheck.conf
. Após abrir o arquivo, altere a opçãocert_expiration_days
localizada na seção padrão.NotaA Certmonger carrega e mantém sua própria visão sobre a expiração do certificado. Esta verificação não valida o certificado em disco.
- IPACertfileExpirationCheck
Este teste verifica se o arquivo do certificado ou banco de dados do NSS não pode ser aberto. Este teste também verifica a expiração. Portanto, leia atentamente o atributo
msg
na saída de erro ou aviso. A mensagem especifica o problema.NotaEste teste verifica o certificado em disco. Se um certificado estiver faltando, não legível, etc., um erro separado também pode ser detectado.
- IPACertNSSTrust
- Este teste compara a confiança para os certificados armazenados nos bancos de dados do NSS. Para os certificados rastreados esperados em bancos de dados NSS, a confiança é comparada a um valor esperado e a um erro levantado em um não-correspondência.
- IPANSSChainValidation
-
Este teste valida a cadeia de certificados dos certificados do NSS. O teste é executado
certutil -V -u V -e -d [dbdir] -n [nickname]
- IPAOpenSSLChainValidation
Este teste valida a cadeia de certificados dos certificados OpenSSL. Para ser comparável à validação do
NSSChain
aqui é o comando OpenSSL que executamos:openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [arquivo cert]
- IPARAAgent
-
Este teste compara o certificado em disco com o registro equivalente no LDAP em
uid=ipara,ou=People,o=ipaca
. - IPACertRevocation
- Este teste utiliza o certmonger para verificar se os certificados não foram revogados. Portanto, o teste pode encontrar problemas relacionados a certificados mantidos somente por certmonger.
- IPACertmongerCA
Este teste verifica a configuração da autoridade certificadora (CA). A IdM não pode emitir certificados sem a CA.
A Certmonger mantém um conjunto de ajudantes da CA. Na IdM, há uma CA chamada IPA que emite certificados através da IdM, autenticando-se como um principal anfitrião ou usuário, para certificados de anfitrião ou de serviço.
Há também
dogtag-ipa-ca-renew-agent
edogtag-ipa-ca-renew-agent-reuse
que renovam os certificados do subsistema CA.
Execute estes testes em todos os servidores principais da IdM ao tentar verificar a existência de problemas.