5.4. CS 10.1 の既知の問題
このパートでは、Red Hat Certificate System 10.1 でユーザーが知っておくべき既知の問題と、該当する場合は回避策を説明します。
TPS では匿名バインドの ACI アクセスの追加が必要
以前のバージョンでは、匿名バインド ACI はデフォルトで許可されていましたが、LDAP では無効になっています。これにより、TPS スマートカードの登録またはフォーマットができなくなります。
この問題が修正されるまでの回避策として、Directory Server で匿名バインド ACI を手動で追加する必要があります。
$ ldapmodify -D "cn=Directory Manager" -W -x -p 3389 -h hostname -x <<EOF
dn: dc=example,dc=org
changetype: modify
add: aci
aci: (targetattr!="userPassword || aci")(version 3.0; acl "Enable anonymous access"; allow (read, search, compare) userdn="ldap:///anyone";)
EOFpki-core パッケージの既知の問題:
PKI CA に接続する PKI ACME Responder が発行する証明書により、OCSP の検証が失敗する可能性がある
PKI CA が提供するデフォルトの ACME 証明書プロファイルには、実際の OCSP サービスを参照しないサンプル OCSP URL が含まれています。これにより、PKI ACME Responder が PKI CA 発行者を使用するように設定されている場合、レスポンダーが発行する証明書は OCSP 検証に失敗する可能性があります。
この問題を回避するには、/usr/share/pki/ca/profiles/ca/acmeServerCert.cfg 設定ファイルの policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0 プロパティーを空の値に設定する必要があります。
-
ACME Responder 設定ファイルで
policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0=http://ocsp.example.comをpolicyset.serverCertSet.5.default.params.authInfoAccessADLocation_0=に変更します。 - サービスを再起動して、証明書を再生成します。
これにより、PKI CA は、実際の OCSP サービスを参照する自動生成 OCSP URL で ACME 証明書を生成します。
--agent-uid pkidbuser オプションを指定して cert-fix ユーティリティーを使用すると Certificate System が破損
--agent-uid pkidbuser オプションを指定して cert-fix ユーティリティーを使用すると、Certificate System の LDAP 設定が破損します。したがって、Certificate System は不安定になり、システムの復元に手動の操作が必要になる可能性があります。
