Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 30 章 使用 IdM Healthcheck 验证证书

了解更多有关理解和使用身份管理(IdM)中的 Healthcheck 工具识别 certmonger 工具维护的 IdM 证书的问题。

30.1. IdM 证书健康检查测试
复制链接

Healthcheck 工具包括多个测试,用于验证身份管理(IdM)中 certmonger 维护的证书的状态。有关 certmonger 的详情,请参阅 使用 certmonger 获取服务的 IdM 证书

此测试套件检查证书过期、验证、信任和其他配置。Healthcheck 可以为同一底层问题报告多个错误。

您可以在 ipa-healthcheck --list-sources 命令的输出中的 ipahealthcheck.ipa.certs 源中找到这些证书测试。

IPACertmongerExpirationCheck

此测试检查 certmonger 中的过期时间

如果报告错误,证书已过期。

如果出现警告,则证书将很快过期。默认情况下,如果测试在证书过期之前运行了 28 天或更少时间,则会出现一个警告。

您可以在 /etc/ipahealthcheck/ipahealthcheck.conf 文件中配置天数。打开文件后,更改 default 部分中的 cert_expiration_days 选项。

注意

Certmonger 加载并维护自己的证书过期视图。此检查不会验证磁盘中的证书。

IPACertfileExpirationCheck

此测试会检查是否已为证书文件或 NSS 数据库配置了正确的访问权限。此测试还会检查过期情况。因此,请仔细阅读错误或警告输出中的 msg 属性。消息指定了问题。

注意

此测试会检查磁盘中的证书。如果证书缺失或不可读,Healthcheck 会返回一个错误。

IPACertNSSTrust
此测试会分析存储在 NSS 数据库中的证书的信任。对于 NSS 数据库中预期的跟踪证书,Healthcheck 将信任与预期的值进行比较,并在不匹配时抛出一个错误。
IPANSSChainValidation
此测试会验证 NSS 证书的证书链。测试执行 certutil -V -u V -e -d [dbdir] -n 命令。
IPAOpenSSLChainValidation

此测试会验证 OpenSSL 证书的证书链。具体来说,健康检查执行以下 OpenSSL 命令: 

openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]
Copy to Clipboard Toggle word wrap
IPARAAgent
此测试将磁盘上的证书与 uid=ipara,ou=People,o=ipaca 中 LDAP 中的等效记录进行比较。
IPACertRevocation
此测试会验证 certmonger 维护的证书是否还没有被撤销。
IPACertmongerCA

此测试验证 certmonger 证书授权机构(CA)配置。IdM 无法在没有 CA 的情况下发布证书。

Certmonger 维护一组 CA 帮助程序。名为 IPA 的 CA 通过 IdM 为主机或服务发布证书,以主机或用户主体身份进行身份验证。

另外,还有续订 CA subsystem 证书的 dogtag-ipa-ca-renew-agentdogtag-ipa-ca-renew-agent-reuse

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat