18.2. 子系统健康检查
管理员定期监控可能的故障非常重要,例如:
- 由完整磁盘导致的审计失败
- 由 HSM 连接问题导致的签名失败
- LDAP 服务器连接问题
- 以此类推
自助测试也可以根据需要运行,如 第 10 章 self-tests 所述。
PKI Healthcheck 是一个命令行工具,可帮助查找可能会影响您的证书系统环境健康状况的问题。如果需要,此工具可以报告红帽身份管理中存在的 Healthcheck 工具。
18.2.1. PKI Healthcheck Test Modules
PKI Healthcheck 由用于测试的独立模块组成:
- CS.cfg 和 NSS 数据库之间的证书同步
-
检查
CS.cfg中的系统证书(位于/var/lib/pki/<instance>/<subsystem>/conf/CS.cfg)和 NSS 数据库(位于/var/lib/pki/<instance>/alias/中)。否则,证书颁发机构(CA)无法启动。 - 系统证书过期
- 检查已安装系统证书的到期状态(如需更多信息,请参阅系统证书)。
- 系统证书信任标记
- 检查安装的系统证书是否包含正确的信任标志(详情请参阅系统证书)。
- 子系统连接检查
- 检查子系统是否正在运行并能够响应请求。
- 子系统克隆连接和数据检查
- 检查给定 CS 子系统中配置的一组克隆的简单连接和数据健全。给定 CA 子系统的安全域被查询以识别已设置的克隆。然后,检查会进入每个克隆,并在适用的情况下验证数据是否健全。
18.2.2. PKI Healthcheck 配置
PKI Healthcheck 工具配置存储在 /etc/pki/healthcheck.conf 中。它类似如下:
[global] plugin_timeout=300 cert_expiration_days=30 # Dogtag specific section [dogtag] instance_name=pki-tomcat
18.2.3. 运行 PKI Healthcheck
-
要执行健康检查,请运行
pki-healthcheck命令。 您还可以执行特定的检查。例如:
# pki-healthcheck --source pki.server.healthcheck.meta.csconfig --check DogtagCertsConfigCheck
有关可能选项的更多信息,请参阅 man page: man pki-healthcheck。
18.2.4. PKI Healthcheck 输出格式
HealthCheck 生成以下输出,您可以使用 --output-type 设置:
- 默认情况下,JSON 格式的机器可读输出(json)。
- 或者,人类可读的输出(human)。
您可以使用-- output-file 选项指定备选文件目的地。
18.2.5. PKI Healthcheck 结果
该报告由描述正在运行的内容和状态的消息组成。每个健康检查模块返回以下结果之一:
- SUCCESS
- 配置为预期,检查已执行并找不到问题
- WARNING
- 不是错误,但值得关注或评估(例如,证书将很快过期)
- ERROR
- 未按预期配置,但服务器可能仍在正常工作(例如,克隆冲突)
- CRITICAL
- 未按预期配置,可能会有较大影响(例如服务没有启动,证书为过期等)
如果状态不成功,消息可能包含额外的信息或重新命令,管理员可用于更正问题(例如,文件具有错误的权限、预期的 X 和 get Y)。
