22.2. 子系统健康检查


管理员定期监控可能的故障非常重要,如下所示:
  • 由完整磁盘导致的审计失败
  • 由 HSM 连接问题导致的签名失败
  • LDAP 服务器连接问题
  • 以此类推
Self-tests 也可以根据需要运行,如 第 14.9 节 “运行自测试” 所述。

22.2.1. PKI 中的健康检查

PKI Healthcheck 是一个命令行工具,可帮助发现可能会影响证书系统环境健康状况的问题。如果需要,此工具可报告到 Red Hat Identity Management 中的 Healthcheck 工具。

22.2.1.1. PKI Healthcheck 测试模块

PKI Healthcheck 由独立模块组成,用于测试:
  • CS.cfg 和 NSS 数据库之间的证书同步
    检查 CS.cfg 中的系统证书(位于 /var/lib/pki/<instance>/<subsystem>/conf/CS.cfg)和 NSS 数据库(位于 /var/lib/pki/<instance>/alias/ )匹配。否则,证书颁发机构(CA)无法启动。
  • 系统证书过期
    检查安装的系统证书的到期状态(请参阅系统证书以了解更多信息)。
  • 系统证书信任标志
    检查安装的系统证书是否使用正确的信任标志(请参阅系统证书以了解更多信息)。
  • 子系统连接检查
    检查子系统是否正在运行并能够响应请求。
  • 子系统克隆连接和数据检查
    检查在给定 CS 子系统中配置的一组克隆的简单连接和数据健全性。给定的 CA 子系统的安全域被参考,以标识已设置的克隆。然后,检查会进入每个克隆,并在适用的情况下验证数据健全性。

22.2.1.2. PKI Healthcheck 配置

PKI Healthcheck 工具配置存储在 /etc/pki/healthcheck.conf 中。它类似如下:
[global]
		      plugin_timeout=300
		      cert_expiration_days=30

		      # Dogtag specific section
		      [dogtag]
		      instance_name=pki-tomcat

22.2.1.3. 运行 PKI Healthcheck

  • 要执行健康检查,请运行 pki-healthcheck 命令。
  • 您还可以执行特定的检查。例如:
    # pki-healthcheck --source pki.server.healthcheck.meta.csconfig --check DogtagCertsConfigCheck
有关可能选项的更多信息,请参阅 man page: man pki-healthcheck

22.2.1.4. 健康检查输出格式

健康检查会生成以下输出,您可以使用 --output-type 设置:
  • 默认情况下,JSON 格式的机器可读输出(json)。
  • 或者,人类可读的输出(人类可读)。
您可以使用 --output-file 选项指定替代文件目的地。

22.2.1.5. 健康检查结果

这个报告包含描述正在运行的内容和状态的消息。每个 Healthcheck 模块返回以下结果之一:
SUCCESS
按预期配置,检查已执行并发现没有问题
WARNING
不是错误,但值得注意正在进行或评估(例如,证书将很快过期)
ERROR
未按预期配置,但服务器可能仍然可以正常工作(例如,克隆冲突)
CRITICAL
未按预期配置,可能会有较大的影响(例如,服务没有启动,证书已过期等)。
如果状态不成功,则消息可能包含附加信息或重新命令,管理员可使用它们来更正问题(例如,文件具有错误的权限,预期 X 和获取 Y)。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.