Red Hat Summit5.4. CS 10.3 の既知の問題
このパートでは、Red Hat Certificate System 10.3 でユーザーが知っておくべき既知の問題と、該当する場合は回避策を説明します。
TPS では匿名バインドの ACI アクセスの追加が必要
以前のバージョンでは、匿名バインド ACI はデフォルトで許可されていましたが、LDAP では無効になっています。これにより、TPS スマートカードの登録またはフォーマットができなくなります。
この問題が修正されるまでの回避策として、Directory Server で匿名バインド ACI を手動で追加する必要があります。
トークンは TPS Web UI に表示されない
tpsclient ツールを使用してトークンをフォーマットおよび登録する場合、または Web UI を介してトークンを追加する場合、デバッグログにはエントリーが正常に記録されていることが示されますが、TPS Web UI にはトークンは表示されません。
この問題が修正されるまでの回避策として、次の例のように tps-token-find コマンドを使用してトークンを一覧表示します。
pki -d /opt/pki/certdb/ -c SECret.123 -p 25443 -n 'PKI TPS Administrator for Example.Org' tps-token-find
# pki -d /opt/pki/certdb/ -c SECret.123 -p 25443 -n 'PKI TPS Administrator for Example.Org' tps-token-findpki-core パッケージの既知の問題:
auditSigningCert に属性がないため、HSM を使用した KRA のクローン作成が失敗する
HSM を使用して KRA のクローンを作成する場合に、auditSigningCert の信頼属性 u,u,Pu がマスターとクローンのエイリアス DB の間で暗黙的に同期されるはずですが、クローンのエイリアス DB での複製に失敗するようになりました。結果として、HSM を使用した KRA のクローン作成は、auditSigningCert cert-topology-02-KRA KRA is invalid: Invalid certificate: (-8101) Certificate type not approved for application というエラーで失敗します。
この問題を回避するには、auditSigningCert の u,u,Pu 信頼属性をクローン KRA のエイリアス DB に明示的に追加し、インスタンスを再起動する必要があります。以下に例を示します。
回避策の前:
certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J
# certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J Enter Password or Pin for "token": certutil: certificate is invalid: Certificate type not approved for application.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 回避策の後:
certutil -M -d /var/lib/pki/clone-KRA/alias/ -n 'token:auditSigningCert cert-topology-02-KRA KRA' -t u,u,Pu certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J
# certutil -M -d /var/lib/pki/clone-KRA/alias/ -n 'token:auditSigningCert cert-topology-02-KRA KRA' -t u,u,Pu # certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J Enter Password or Pin for "token": certutil: certificate is validCopy to Clipboard Copied! Toggle word wrap Toggle overflow
--agent-uid pkidbuser オプションを指定して cert-fix ユーティリティーを使用すると Certificate System が破損
--agent-uid pkidbuser オプションを指定して cert-fix ユーティリティーを使用すると、Certificate System の LDAP 設定が破損します。したがって、Certificate System は不安定になり、システムの復元に手動の操作が必要になる可能性があります。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}