Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

10.11. 更新目录中的证书和 CRL

证书管理器和发布目录如果目录服务器停机时签发或撤销证书,则可以不同步。在目录服务器备份时,需要手动发布或取消发布或取消发布证书。

要查找没有与目录同步的证书 - 存在于目录中并撤销或过期的证书的证书 - 证书管理器是否会保留其内部数据库中的证书的记录。如果证书管理器和发布目录不同步,请使用 Certificate Manager 代理服务页面中的 Update Directory 选项,将发布目录与内部数据库同步。

以下选择可用于将目录与内部数据库同步:

  • 在内部数据库中搜索没有同步的证书,并发布或取消发布。
  • 发布在 Directory 服务器停机时发布的证书。同样,未发布已撤销或在目录服务器停机时过期的证书。
  • 根据序列号发布或取消发布一系列证书,从序列号 xx 到序列号 yy

证书管理器的发布目录只能由证书管理器代理手动更新。

10.11.1. 手动更新目录中的证书
复制链接

证书管理器代理服务页面中的 Update Directory Server 表单可用于使用与证书相关的信息手动更新目录。这个表单启动以下操作的组合:

  • 使用证书更新目录。

  • 从目录中删除过期的证书。

    通过调度自动化作业,可以从发布目录中删除过期的证书。详情请查看 第 14 章 设置自动化作业

  • 从目录中删除撤销的证书。

通过执行以下操作来手动更新目录:

  1. 打开 证书管理器代理服务页面。
  2. 选择 Update Directory Server 链接。

  3. 选择适当的选项,然后单击 更新目录

    证书管理器开始使用其内部数据库中的证书信息更新目录。如果更改非常大,则更新目录可能需要大量时间。在此期间,任何通过证书管理器所做的更改(包括签发或撤销的任何证书)都可能不包括在更新中。如果在更新目录时发布或撤销任何证书,请再次更新目录以反映这些更改。

目录更新完成后,证书管理器会显示状态报告。如果进程中断,服务器会记录错误消息。

如果证书管理器作为 root CA 安装,则在使用代理接口更新具有有效证书的目录时,可以使用为用户证书设置的发布规则来发布 CA 签名证书。这可返回对象类违反错误或其他映射器中的错误。选择适当的序列号范围来排除 CA 签名证书可以避免出现这个问题。CA 签名证书是 root CA 发布的第一个证书。

  • 通过将 predicate 参数的值更改为 profileId!=caCACert 来修改用户证书的默认发布规则。
  • 使用 LdapCaCertPublisher publisher 插件模块来添加另一个规则,并将 predicate 参数设置为 profileId=caCACert,用于发布从属 CA 证书。

10.11.2. 手动更新目录中的 crl
复制链接

证书管理器代理服务页面中的证书撤销列表 表单使用与 CRL 相关的信息手动更新目录。

通过执行以下操作手动更新 CRL 信息:

  1. 打开 证书管理器代理服务页面。
  2. 选择 Update Revocation List
  3. 单击 Update

证书管理器开始在其内部数据库中使用 CRL 更新目录。如果 CRL 较大,更新目录需要相当长的时间。在此期间,对 CRL 所做的任何更改都不会包含在更新中。

更新目录后,证书管理器会显示状态报告。如果进程中断,服务器会记录错误消息。

Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部