第 104 章 使用 IdM Healthcheck 验证证书
了解更多有关理解和使用身份管理(IdM)中的 Healthcheck 工具,以识别由 certmonger
维护的 IPA 证书的问题。
详情请查看 IdM 中的 Healthcheck。
先决条件
- Healthcheck 工具只在 RHEL 8.1 及更新版本中可用。
104.1. IdM 证书健康检查测试
Healthcheck 工具包括多个测试,用于验证 Identity Management(IdM)中由 certmonger 维护的证书状态。有关 certmonger 的详情,请参阅使用 certmonger 为服务获取 IdM 证书。
此测试套件检查过期、验证、信任和其他问题。对于相同的根本问题,可能会抛出多个错误。
要查看所有证书测试,请使用 --list-sources
选项运行 ipa-healthcheck
:
# ipa-healthcheck --list-sources
您可以在 ipahealthcheck.ipa.certs
源下找到所有测试:
- IPACertmongerExpirationCheck
此测试检查
certmonger 中的过期时间
。如果报告错误,证书已过期。
如果出现警告,证书很快就会过期。默认情况下,此测试在证书过期前 28 天或少于 28 天内适用。
您可以在
/etc/ipahealthcheck/ipahealthcheck.conf
文件中配置天数。打开该文件后,更改 default 部分中的cert_expiration_days
选项。注意Certmonger 加载和维护自己的证书过期视图。此检查不会验证磁盘中的证书。
- IPACertfileExpirationCheck
此测试检查证书文件或 NSS 数据库是否无法打开。此测试还会检查过期情况。因此,请仔细阅读错误或警告输出中的
msg
属性。消息指定了问题。注意此测试会检查磁盘中的证书。如果证书丢失、不可读取等单独错误,也可以引发单独的错误。
- IPACertNSSTrust
- 此测试比较存储在 NSS 数据库中的证书的信任。对于 NSS 数据库中的预期跟踪证书,会将信任与预期值进行比较,并在不匹配时引发错误。
- IPANSSChainValidation
-
此测试会验证 NSS 证书的证书链。测试执行:
certutil -V -u V -e -d [dbdir] -n [nickname]
- IPAOpenSSLChainValidation
此测试会验证 OpenSSL 证书的证书链。与
NSSChain
验证相当的 OpenSSL 命令是我们执行的 OpenSSL 命令:openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]
- IPARAAgent
-
此测试将磁盘上的证书与 LDAP in
uid=ipara,ou=People,o=ipaca
中的等效记录进行比较。 - IPACertRevocation
- 此测试使用 certmonger 验证证书是否已被撤销。因此,测试只能查找与 certmonger 维护的证书连接的问题。
- IPACertmongerCA
此测试将验证证书授权机构(CA)配置。IdM 无法在没有 CA 的情况下发布证书。
Certmonger 维护一组 CA 帮助程序。在 IdM 中,有一个名为 IPA 的 CA,它通过 IdM 发布证书,它作为主机或用户主体进行身份验证,用于主机或服务证书。
还有一个
dogtag-ipa-ca-renew-agent
和dogtag-ipa-ca-renew-agent-reuse
(续订 CA 子系统证书)
当尝试检查问题时,在所有 IdM 服务器中运行这些测试。