Capítulo 71. Verificação de certificados de sistema usando o IdM Healthcheck
Esta seção descreve uma ferramenta de Healthcheck em Gerenciamento de Identidade (IdM) para identificar problemas com certificados de sistema.
Para detalhes, veja Healthcheck em IdM.
Pré-requisitos
- A ferramenta Healthcheck está disponível apenas no RHEL 8.1 ou mais recente.
71.1. Certificados de sistema Testes de Healthcheck
A ferramenta Healthcheck inclui vários testes para verificação de certificados de sistema (DogTag).
Para ver todos os testes, execute o ipa-healthcheck
com a opção --list-sources
:
# ipa-healthcheck --list-sources
Você pode encontrar todos os testes sob a fonte ipahealthcheck.dogtag.ca
:
- DogtagCertsConfigCheck
Este teste compara os certificados CA (Autoridade Certificadora) em seu banco de dados NSS com os mesmos valores armazenados em
CS.cfg
. Se eles não corresponderem, a CA não inicia.Especificamente, ele verifica:
-
auditSigningCert cert-pki-ca
contraca.audit_signing.cert
-
ocspSigningCert cert-pki-ca
contraca.ocsp_signing.cert
-
caSigningCert cert-pki-ca
contraca.signing.cert
-
subsystemCert cert-pki-ca
contraca.subsystem.cert
-
Server-Cert cert-pki-ca
contraca.sslserver.cert
Se a Key Recovery Authority (KRA) estiver instalada:
-
transportCert cert-pki-kra
contraca.connector.KRA.transportCert
-
- DogtagCertsConnectivityCheck
Este teste verifica a conectividade. Este teste é equivalente ao comando
ipa cert-show 1
que verifica:- A configuração de proxy PKI no Apache
- IdM sendo capaz de encontrar uma CA
- O certificado de cliente agente RA
- Correção das respostas do CA aos pedidos
Observe que o teste verifica um certificado com a série nº 1 porque você quer verificar se um
cert-show
pode ser executado e obter de volta um resultado esperado da CA (o certificado ou um não encontrado).
Execute estes testes em todos os servidores principais da IdM ao tentar encontrar um problema.