第 24 章 使用 IdM Healthcheck 验证证书
了解更多有关理解和使用身份管理(IdM)中的 Healthcheck 工具,以识别由 certmonger 维护的 IPA 证书的问题。
详情请参阅 IdM 中的 Healthcheck。
24.1. IdM 证书 Healthcheck 测试
Healthcheck 工具包括几个测试,用于验证 Identity Management(IdM)中由 certmonger 维护的证书状态。有关 certmonger 的详情,请参阅使用 certmonger 为服务获取 IdM 证书。
这个测试套件会检查过期、验证、信任和其他问题。可能会为相同的底层问题抛出多个错误。
要查看所有证书测试,请使用 --list-sources 选项运行 ipa-healthcheck:
# ipa-healthcheck --list-sources
您可以在 ipahealthcheck.ipa.certs 源中找到所有测试:
- IPACertmongerExpirationCheck
此测试会检查
certmonger中的过期时间。如果报告错误,代表证书已过期。
如果显示警告,代表证书将很快过期。默认情况下,这个测试会在证书过期前的 28 天或更短的天数内应用。
您可以在
/etc/ipahealthcheck/ipahealthcheck.conf文件中配置天数。打开文件后,更改 default 部分中的cert_expiration_days选项。注意certmonger 加载并维护其证书过期视图。此检查不会验证磁盘上的证书。
- IPACertfileExpirationCheck
此测试会检查是否无法打开证书文件或 NSS 数据库。此测试还会检查过期时间。因此,仔细阅读错误或警告输出中的
msg属性。消息指定了问题。注意此测试会检查磁盘上的证书。如果缺少证书且不可读取,也会引发单独的错误。
- IPACertNSSTrust
- 此测试会比较 NSS 数据库中存储的证书的信任。对于 NSS 数据库中的预期跟踪证书,信任与预期值进行比较,导致在非匹配时引发错误。
- IPANSSChainValidation
-
此测试会验证 NSS 证书的证书链。测试执行:
certutil -V -u V -e -d [dbdir] -n [nickname] - IPAOpenSSLChainValidation
此测试会验证 OpenSSL 证书的证书链。为了可以与这里的
NSSChain验证比较,执行 OpenSSL 命令:openssl verify -verbose -show_chain -CAfile /etc/ipa/ca.crt [cert file]
- IPARAAgent
-
此测试将磁盘上的证书与
uid=ipara,ou=People,o=ipaca中的 LDAP 中的等效记录进行比较。 - IPACertRevocation
- 此测试使用 certmonger 验证证书没有被撤销。因此,测试只能查找与由 certmonger 维护的证书连接的问题。
- IPACertmongerCA
此测试会验证 certmonger 证书颁发机构(CA)配置。IdM 无法在没有 CA 的情况下发布证书。
certmonger 维护一组 CA 帮助程序。在 IdM 中,有一个名为 IPA 的 CA,它会在主机或服务证书中以主机或用户主体身份通过 IdM 发出证书。
另外,还有
dogtag-ipa-ca-renew-agent和dogtag-ipa-ca-renew-agent-reuse,它们续订 CA 子系统证书。
当尝试检查问题时,在所有 IdM 服务器中运行这些测试。
