...
Сертификаты пользовательские, выданные внешним CA или вручную загруженные необходимо сделать отслеживаемыми используя следующую команду (на примере сертификата службы KDC FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК]):
| Command |
|---|
sudo ipa-getcert start-tracking -f /var/lib/ipa/certs/kdc.crt -k /var/lib/ipa/certs/kdc.key -C /usr/lib/ipa/certmonger/renew_kdc_cert |
...
| Предупреждение | ||
|---|---|---|
| ||
При ручном добавлении сертификата в отслеживание, служба certmonger лишь начинает за ним наблюдать, но автоматическое обновление происходит только через CA FreeIPA Health Check. Обзор функциональных возможностей. [ЧЕРНОВИК], сконфигурированный в certmonger. Если в системе нет ни одного CA (внутреннего DogTag или внешнего, зарегистрированного через getcert add-scep-ca или ipa-getcert), то при приближении срока истечения служба certmonger попытается продлить сертификат, но получит ошибку CA_UNREACHABLE и не обновит его автоматически. |
...
| Информация | ||
|---|---|---|
| ||
Журнал службы certmonger для дальнейшей диагностики можно просмотреть с помощью команды:
|
В свою очередь certmonger записывает в журнал службы предупреждение следующего вида:
...