14.9. 运行自测试


证书系统添加了允许自助范围服务器的功能。自我覆盖在启动时运行,也可以根据需要运行。当服务器启动,并在关键自测试失败时使服务器保持启动时运行启动自我tests。点子系统控制台中的自助范围按钮运行按需自助tests。

14.9.1. 运行自测试

CA、IADP、KRA 或 TKS 子系统的按需自测试从控制台运行。TPS 系统的按需自助范围从网页运行。

14.9.1.1. 从控制台运行自测试

注意
pkiconsole 已被弃用。
  1. 登录到控制台。
    pkiconsole https://server.example.com:admin_port/subsystem_type
  2. 选择左侧窗格中的子系统名称。
  3. 选择 Self Tests 选项卡。
  4. Run
    为子系统配置的自助tests 将运行。如果有任何关键的自助限制失败,服务器将停止。
  5. 此时会出现 On-Demand Self Tests Results 窗口,显示此运行自tests 的日志记录事件。

14.9.1.2. 运行 TPS Self-Tests

使用命令行界面(CLI)运行 TPS 自助范围:
  • pki tps-selftest-find
  • pki tps-selftest-run
  • pki tps-selftest-show

14.9.2. 自我测试日志记录

一个单独的日志 selftest.log 被添加到日志目录中,其中包含启动自tests 和按需自助服务的报告报告。此日志是通过更改 CS.cfg 文件中的日志设置来配置。详情请参阅 Red Hat Certificate System 规划、安装和部署指南中的 修改自 测试配置部分。

14.9.3. 配置 POSIX 系统 ACL

POSIX 系统访问控制规则提供对系统用户权限的更精细的粒度。在完全配置后,必须为每个实例设置这些 ACL。有关 ACL 的详情,请查看 Red Hat Enterprise Linux 系统管理指南中的相应章节

14.9.3.1. 为 CA、KRA、KRA、TKS、TKS 和 TPS 设置 POSIX 系统 ACL

ext4 和 XFS 等现代文件系统默认启用 ACL,在现代 Red Hat Enterprise Linux 安装中最有可能使用。
  1. 停止该实例。
    pki-server stop instance_name
  2. 将组可读性设置为实例的目录和文件的 pkiadmin 组。
    # setfacl -R -L -m g:pkiadmin:r,d:g:pkiadmin:r /var/lib/pki/instance_name
  3. 在所有目录中应用执行(x) ACL 权限:
    # find -L /var/lib/pki/instance_name -type d -exec setfacl -L -n -m g:pkiadmin:rx,d:g:pkiadmin:rx {} \;
  4. 从实例的 signedAudit/ 目录及其关联的文件中删除 pkiadmin 组的组可读性:
    # setfacl -R -L -x g:pkiadmin,d:g:pkiadmin /var/lib/pki/instance_name/logs/signedAudit
  5. 为实例的 signedAudit/ 目录及其关联的文件设置 pkiaudit 组的组可读性:
    # setfacl -R -L -m g:pkiaudit:r,d:g:pkiaudit:r /var/lib/pki/instance_name/logs/signedAudit
  6. 对 signedAudit/ 目录及其所有子目录重新应用执行(x) ACL权限:
    # find -L /var/lib/pki/instance_name/logs/signedAudit -type d -exec setfacl -L -n -m g:pkiaudit:rx,d:g:pkiaudit:rx {} \;
  7. 启动实例。
    pki-server start instance_name
  8. 使用 getfacl 命令显示当前的 ACL 设置,确认正确应用了文件访问控制:
    # getfacl /var/lib/pki/instance_name /var/lib/pki/instance_name/subsystem_type/logs/signedAudit/
    getfacl: Removing leading '/' from absolute path names
    # file: var/lib/pki/instance_name
    # owner: pkiuser
    # group: pkiuser
    user::rwx
    group::rwx
    group:pkiadmin:r-x
    mask::rwx
    other::r-x
    default:user::rwx
    default:group::rwx
    default:group:pkiadmin:r-x
    default:mask::rwx
    default:other::r-x
    
    # file: var/lib/pki/instance_name/logs/signedAudit
    # owner: pkiuser
    # group: pkiaudit
    user::rwx
    group::rwx
    group:pkiaudit:r-x
    mask::rwx
    other::---
    default:user::rwx
    default:group::rwx
    default:group:pkiaudit:r-x
    default:mask::rwx
    default:other::---
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.