Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 29 章 使用 IdM Healthcheck 验证证书

了解更多有关理解和使用身份管理(IdM)中的 Healthcheck 工具,以识别由 certmonger 工具维护的 IdM 证书的问题。

29.1. IdM 证书健康检查测试
复制链接

Healthcheck 工具包括多个测试,用于验证身份管理(IdM)中由 certmonger 维护的证书状态。有关 certmonger 的详情,请参阅 使用 certmonger 为服务获取 IdM 证书

此测试套件检查证书过期、验证、信任和其他配置。健康检查可以报告同一底层问题的多个错误。

您可以在 ipa-healthcheck --list-sources 命令的输出中的 ipahealthcheck.ipa.certs 源中找到这些证书测试。

IPACertmongerExpirationCheck

此测试检查 certmonger 中的过期时间

如果报告错误,证书已过期。

如果出现警告,证书将很快过期。默认情况下,如果测试在证书过期前运行 28 天或更少,会出现一个警告。

您可以在 /etc/ipahealthcheck/ipahealthcheck.conf 文件中配置天数。打开该文件后,更改 default 部分中的 cert_expiration_days 选项。

注意

Certmonger 加载和维护自己的证书过期视图。此检查不会验证磁盘中的证书。

IPACertfileExpirationCheck

此测试会检查证书文件或 NSS 数据库是否配置了正确的访问权限。此测试还会检查过期情况。因此,请仔细阅读错误或警告输出中的 msg 属性。消息指定了问题。

注意

此测试会检查磁盘中的证书。如果证书缺失或不可读取,健康检查会返回错误。

IPACertNSSTrust
此测试会分析存储在 NSS 数据库中的证书的信任。对于 NSS 数据库中的预期跟踪证书,健康检查会将信任与预期值进行比较,并在不匹配时引发错误。
IPANSSChainValidation
此测试会验证 NSS 证书的证书链。测试执行 certutil -V -u V -e -d [dbdir] -n 命令。
IPAOpenSSLChainValidation

此测试会验证 OpenSSL 证书的证书链。具体来说,健康检查执行以下 OpenSSL 命令: 

openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]
Copy to Clipboard Toggle word wrap
IPARAAgent
此测试将磁盘上的证书与 uid=ipara,ou=People,o=ipaca 中 LDAP 中的等效记录进行比较。
IPACertRevocation
此测试会验证由 certmonger 维护的证书是否已被撤销。
IPACertmongerCA

此测试验证 证书授权机构 (CA)配置。IdM 无法在没有 CA 的情况下发布证书。

Certmonger 维护一组 CA 帮助程序。名为 IPA 的 CA 通过 IdM 为主机或服务发布证书,以主机或用户主体进行身份验证。

另外,还有 dogtag-ipa-ca-renew-agentdogtag-ipa-ca-renew-agent-reuse 用于续订 CA 子系统证书。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat