第 9 章 使用 IdM Healthcheck 验证系统证书
了解如何使用 Healthcheck 工具识别身份管理(IdM)中系统证书的问题。
详情请查看
9.1. 系统证书健康检查测试
Healthcheck 工具包括多个用于验证系统(DogTag)证书的测试。
要查看所有测试,请使用 --list-sources
选项运行 ipa-healthcheck
:
# ipa-healthcheck --list-sources
您可以在 ipahealthcheck.dogtag.ca
源中找到所有测试:
- DogtagCertsConfigCheck
此测试会将其 NSS 数据库中的 CA(Certificate Authority)证书与
CS.cfg
中存储的相同值进行比较。如果不匹配,CA 无法启动。特别是,它会检查:
-
auditSigningCert cert-pki-ca
againstca.audit_signing.cert
-
ocspSigningCert cert-pki-ca
againstca.ocsp_signing.cert
-
caSigningCert cert-pki-ca
againstca.signing.cert
-
subsystemCert cert-pki-ca
againstca.subsystem.cert
-
Server-Cert cert-pki-ca
与ca.sslserver.cert
如果安装了密钥恢复授权(KRA):
-
transportCert cert-pki-kra
againstca.connector.KRA.transportCert
-
- DogtagCertsConnectivityCheck
此测试会验证连接。此测试等同于
ipa cert-show 1
命令,它检查:- Apache 中的 PKI 代理配置
- IdM 可以找到 CA
- RA 代理客户端证书
- CA 回复请求的更正
请注意,测试会检查带有串行 #1 的证书,因为您想要
验证证书
是否可以被执行,并从 CA 返回预期的结果(证书或未找到证书)。
注意
当尝试查找问题时,在所有 IdM 服务器中运行这些测试。