19.5. 启动和停止证书跟踪
按照以下流程,使用 getcert stop-tracking
和 getcert start-tracking
命令来监控证书。这两个命令由 certmonger
服务提供。如果您从不同的 IdM 客户端导入了 Identity Management(IdM)证书颁发机构(CA)发布的证书,则启用证书跟踪特别有用。启用证书跟踪也可以是以下置备场景的最后一步:
- 在 IdM 服务器中,您可以为尚不存在的系统创建一个证书。
- 您创建新系统。
- 您可以将新系统注册为 IdM 客户端。
- 您将从 IdM 服务器上的证书和密钥导入到 IdM 客户端。
-
开始使用
certmonger
跟踪证书,以确保其在到期过期时会被续订。
步骤
要禁用对带有 Request ID 20190408143846 的证书的监控:
# getcert stop-tracking -i 20190408143846
有关更多选项,请参阅您系统上的
getcert stop-tracking
手册页。要启用存储在
/tmp/some_cert.crt
文件中的证书监控,其私钥存储在/tmp/some_key.key
文件中:# getcert start-tracking -c IPA -f /tmp/some_cert.crt -k /tmp/some_key.key
certmonger
无法自动识别签发证书的 CA 类型。因此,如果证书由 IdM CA 签发,在getcert start-tracking
中使用值为IPA
的-c
选项。省略添加-c
选项会导致certmonger
进入 NEED_CA 状态。有关更多选项,请参阅您系统上的
getcert start-tracking
手册页。
这两个命令不会对证书进行操作。例如,getcert stop-tracking
不会删除证书,或者从 NSS 数据库或文件系统中将其删除,但只是从受监控的证书列表中删除证书。同样,getcert start-tracking
只会将证书添加到受监控的证书列表中。