4.4. CS 10.2 の既知の問題
このパートでは、Red Hat Certificate System 10.2 でユーザーが知っておくべき既知の問題と、該当する場合は回避策を説明します。
pcsc-lite、pcsc-lite-ccid、および esc に関する既知の問題
Red Hat Certificate System 10.2 のリリース日時点で、現在利用できる pcsc-lite パッケージ、pcsc-lite-ccid パッケージ、および esc パッケージが含まれ、特定の SCP03 トークンおよび SCP01 トークンを使用したセキュアなチャネルの完了に失敗する可能性があります。RHEL 8.4 の今後のバッチ更新では、これらのパッケージの修正バージョンが提供されます。
HSM を使用した KRA のクローン作成が失敗する
HSM を使用した KRA のクローン作成が失敗し、クローンのデバッグログに auditSigningCert cert-topology-02-KRA KRA is invalid: Invalid certificate: (-8101) Certificate type not approved for application エラーが表示されます。
SubCA 署名証明書の検証中に SubCA の 2 段階インストールに失敗する
2 段階の方法を使用した SubCA のインストールは、FIPS が有効になっている HSM 環境では失敗します。RSA オプションまたは ECC オプションのいずれかを使用すると、SubCA 署名証明書がエラーを返します。
TPS では匿名バインドの ACI アクセスの追加が必要
以前のバージョンでは、匿名バインド ACI はデフォルトで許可されていましたが、LDAP では無効になっています。これにより、TPS スマートカードの登録またはフォーマットができなくなります。
この問題が修正されるまでの回避策として、Directory Server で匿名バインド ACI を手動で追加する必要があります。
$ ldapmodify -D "cn=Directory Manager" -W -x -p 3389 -h hostname -x <<EOF
dn: dc=example,dc=org
changetype: modify
add: aci
aci: (targetattr!="userPassword || aci")(version 3.0; acl "Enable anonymous access"; allow (read, search, compare) userdn="ldap:///anyone";)
EOFpki-core パッケージの既知の問題:
--agent-uid pkidbuser オプションを指定して cert-fix ユーティリティーを使用すると Certificate System が破損
--agent-uid pkidbuser オプションを指定して cert-fix ユーティリティーを使用すると、Certificate System の LDAP 設定が破損します。したがって、Certificate System は不安定になり、システムの復元に手動の操作が必要になる可能性があります。
