77.5. 启动和停止证书跟踪
按照以下流程,使用 getcert stop-tracking 和 getcert start-tracking 命令来监控证书。这两个命令由 certmonger 服务提供。如果您已经从不同的 IdM 客户端上导入了身份管理(IdM)证书认证机构(CA)签发的证书,启用证书跟踪特别有用。启用证书跟踪也可以是以下置备方案的最后一步:
- 在 IdM 服务器上,您可以为尚不存在的系统创建一个证书。
- 您可以创建新系统。
- 将新系统注册为 IdM 客户端。
- 您可以将证书和密钥从 上的 IdM 服务器导入到 IdM 客户端。
-
您开始使用
certmonger 来跟踪证书,以确保其在过期时得到续订。
流程
使用 Request ID 20190408143846 禁用对证书的监控:
# getcert stop-tracking -i 20190408143846有关更多选项,请参阅
getcert stop-trackingman page。要启用对存储在
/tmp/some_cert.crt文件中的证书的监控,其私钥存储在/tmp/some_key.key文件中:# getcert start-tracking -c IPA -f /tmp/some_cert.crt -k /tmp/some_key.keyCertmonger无法自动识别发布证书的 CA 类型。因此,如果 IdM CA 签发证书,将-c选项与IPA值一起添加到getcert start-tracking命令中。省略添加-c选项会导致certmonger 进入NEED_CA 状态。有关更多选项,请参阅
getcert start-trackingman page。
注意
这两个命令不操作证书。例如,getcert stop-tracking 不会删除证书或将其从 NSS 数据库或文件系统中删除,只是将证书从受监控的证书列表中删除。同样,getcert start-tracking 只会在受监控证书列表中添加证书。
