15.3.2.3. 验证签名审计日志
如果启用了审计日志签名,则具有审核员权限的用户可以验证日志:
- 初始化 NSS 数据库并导入 CA 证书。详情请参阅 Red Hat Certificate System 9 规划、安装和部署指南中的 第 2.5.1.1 节 “pki CLI initialization” 和 将 证书导入到 NSS 数据库 部分。
- 如果 PKI 客户端数据库中不存在审计签名证书,请导入:
- 搜索您要验证的子系统日志的审计签名证书。例如:
# pki ca-cert-find --name "CA Audit Signing Certificate" --------------- 1 entries found --------------- Serial Number: 0x5 Subject DN: CN=CA Audit Signing Certificate,O=EXAMPLE Status: VALID Type: X.509 version 3 Key Algorithm: PKCS #1 RSA with 2048-bit key Not Valid Before: Fri Jul 08 03:56:08 CEST 2016 Not Valid After: Thu Jun 28 03:56:08 CEST 2018 Issued On: Fri Jul 08 03:56:08 CEST 2016 Issued By: system ---------------------------- Number of entries returned 1 ----------------------------
- 将审计签名证书导入到 PKI 客户端中:
# pki client-cert-import "CA Audit Signing Certificate" --serial 0x5 --trust ",,P" --------------------------------------------------- Imported certificate "CA Audit Signing Certificate" ---------------------------------------------------
- 下载审计日志。请参阅 第 15.3.2.2 节 “下载审计日志”。
- 验证审计日志。
- 创建一个文本文件,其中包含您要按时间顺序验证的审计日志文件列表。例如:
# cat > ~/audit.txt << EOF ca_audit.20170331225716 ca_audit.20170401001030 ca_audit EOF
- 使用
AuditVerify程序验证签名。例如:# AuditVerify -d ~/.dogtag/nssdb/ -n "CA Audit Signing Certificate" \ -a ~/audit.txt Verification process complete. Valid signatures: 10 Invalid signatures: 0
有关使用AuditVerify的详情,请查看 AuditVerify(1) man page。
