23.2. 子系统健康检查

管理员定期监控可能的故障非常重要，如下所示：

自助测试也可以根据需要运行，如第 15.8 节 “运行 self-tests” 所述。

PKI Healthcheck 是一个命令行工具，可帮助查找可能会影响您的证书系统环境健康状况的问题。如果需要，此工具可以报告红帽身份管理中存在的 Healthcheck 工具。

PKI Healthcheck 由独立模块组成，用于测试：

CS.cfg 和 NSS 数据库之间的证书同步：
检查 CS.cfg 中的系统证书（位于 /var/lib/pki/<instance>/<subsystem>/conf/CS.cfg）和 NSS 数据库（位于 /var/lib/pki/<instance>/alias/中）。否则，证书颁发机构(CA)无法启动。
系统证书过期：
检查安装的系统证书的到期状态（请参阅系统证书以了解更多信息）。
系统证书信任标记：
检查安装的系统证书是否使用正确的信任标志（请参阅系统证书以了解更多信息）。
子系统连接检查：
检查子系统是否正在运行并能够响应请求。
子系统克隆连接和数据检查：
检查在给定 CS 子系统中配置的一组克隆的简单连接和数据健全性。给定的 CA 子系统的安全域被参考，以标识已设置的克隆。然后，检查会进入每个克隆，并在适用的情况下验证数据健全性。

PKI Healthcheck 工具配置存储在 /etc/pki/healthcheck.conf 中。它类似如下：

Copy to Clipboard Toggle word wrap

[global]
	 plugin_timeout=300
	 cert_expiration_days=30

     # Dogtag specific section
     [dogtag]
     instance_name=pki-tomcat

[global]
	 plugin_timeout=300
	 cert_expiration_days=30

     # Dogtag specific section
     [dogtag]
     instance_name=pki-tomcat

要执行健康检查，请运行 pki-healthcheck 命令。您还可以执行特定的检查。例如：

Copy to Clipboard Toggle word wrap

pki-healthcheck --source pki.server.healthcheck.meta.csconfig --check DogtagCertsConfigCheck

# pki-healthcheck --source pki.server.healthcheck.meta.csconfig --check DogtagCertsConfigCheck

有关可能选项的更多信息，请参阅 man page: man pki-healthcheck。

HealthCheck 生成以下输出，您可以使用 --output-type 设置：

您可以使用-- output-file 选项指定备选文件目的地。

这个报告包含描述正在运行的内容和状态的消息。每个健康检查模块返回以下结果之一：

如果状态不成功，消息可能包含附加信息或建议，管理员可用于更正问题（例如，文件具有错误的权限、预期的 X 和 get Y）。

返回顶部