22.2. 子系统健康检查
管理员定期监控可能的故障非常重要,如下所示:
- 由完整磁盘导致的审计失败
- 由 HSM 连接问题导致的签名失败
- LDAP 服务器连接问题
- 以此类推
Self-tests 也可以根据需要运行,如 第 14.9 节 “运行自测试” 所述。
22.2.1. PKI 中的健康检查
PKI Healthcheck 是一个命令行工具,可帮助发现可能会影响证书系统环境健康状况的问题。如果需要,此工具可报告到 Red Hat Identity Management 中的 Healthcheck 工具。
22.2.1.1. PKI Healthcheck 测试模块
PKI Healthcheck 由独立模块组成,用于测试:
- CS.cfg 和 NSS 数据库之间的证书同步检查
CS.cfg中的系统证书(位于/var/lib/pki/<instance>/<subsystem>/conf/CS.cfg)和 NSS 数据库(位于/var/lib/pki/<instance>/alias/)匹配。否则,证书颁发机构(CA)无法启动。 - 系统证书过期检查安装的系统证书的到期状态(请参阅系统证书以了解更多信息)。
- 系统证书信任标志检查安装的系统证书是否使用正确的信任标志(请参阅系统证书以了解更多信息)。
- 子系统连接检查检查子系统是否正在运行并能够响应请求。
- 子系统克隆连接和数据检查检查在给定 CS 子系统中配置的一组克隆的简单连接和数据健全性。给定的 CA 子系统的安全域被参考,以标识已设置的克隆。然后,检查会进入每个克隆,并在适用的情况下验证数据健全性。
22.2.1.2. PKI Healthcheck 配置
PKI Healthcheck 工具配置存储在
/etc/pki/healthcheck.conf 中。它类似如下:
[global] plugin_timeout=300 cert_expiration_days=30 # Dogtag specific section [dogtag] instance_name=pki-tomcat
22.2.1.3. 运行 PKI Healthcheck
- 要执行健康检查,请运行
pki-healthcheck命令。 - 您还可以执行特定的检查。例如:
# pki-healthcheck --source pki.server.healthcheck.meta.csconfig --check DogtagCertsConfigCheck
有关可能选项的更多信息,请参阅 man page:
man pki-healthcheck。
22.2.1.4. 健康检查输出格式
健康检查会生成以下输出,您可以使用
--output-type 设置:
- 默认情况下,JSON 格式的机器可读输出(
json)。 - 或者,人类可读的输出(
人类可读)。
您可以使用
--output-file 选项指定替代文件目的地。
22.2.1.5. 健康检查结果
这个报告包含描述正在运行的内容和状态的消息。每个 Healthcheck 模块返回以下结果之一:
- SUCCESS
- 按预期配置,检查已执行并发现没有问题
- WARNING
- 不是错误,但值得注意正在进行或评估(例如,证书将很快过期)
- ERROR
- 未按预期配置,但服务器可能仍然可以正常工作(例如,克隆冲突)
- CRITICAL
- 未按预期配置,可能会有较大的影响(例如,服务没有启动,证书已过期等)。
如果状态不成功,则消息可能包含附加信息或重新命令,管理员可使用它们来更正问题(例如,文件具有错误的权限,预期 X 和获取 Y)。
