Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

10.11. 更新目录中的证书和 CRL

证书管理器和发布目录如果目录服务器停机时签发或撤销证书,则可以不同步。在目录服务器备份时,需要手动发布或取消发布或取消发布证书。

要查找没有与目录同步的证书 - 存在于目录中并撤销或过期的证书的证书 - 证书管理器是否会保留其内部数据库中的证书的记录。如果证书管理器和发布目录不同步,请使用 Certificate Manager 代理服务页面中的 Update Directory 选项,将发布目录与内部数据库同步。

以下选择可用于将目录与内部数据库同步:

  • 在内部数据库中搜索没有同步的证书,并发布或取消发布。
  • 发布在 Directory 服务器停机时发布的证书。同样,未发布已撤销或在目录服务器停机时过期的证书。
  • 根据序列号发布或取消发布一系列证书,从序列号 xx 到序列号 yy

证书管理器的发布目录只能由证书管理器代理手动更新。

10.11.1. 手动更新目录中的证书

证书管理器代理服务页面中的 Update Directory Server 表单可用于使用与证书相关的信息手动更新目录。这个表单启动以下操作的组合:

  • 使用证书更新目录。

  • 从目录中删除过期的证书。

    通过调度自动化作业,可以从发布目录中删除过期的证书。详情请查看 第 14 章 设置自动化作业

  • 从目录中删除撤销的证书。

通过执行以下操作来手动更新目录:

  1. 打开 证书管理器代理服务页面。
  2. 选择 Update Directory Server 链接。

  3. 选择适当的选项,然后单击 更新目录

    证书管理器开始使用其内部数据库中的证书信息更新目录。如果更改非常大,则更新目录可能需要大量时间。在此期间,任何通过证书管理器所做的更改(包括签发或撤销的任何证书)都可能不包括在更新中。如果在更新目录时发布或撤销任何证书,请再次更新目录以反映这些更改。

目录更新完成后,证书管理器会显示状态报告。如果进程中断,服务器会记录错误消息。

如果证书管理器作为 root CA 安装,则在使用代理接口更新具有有效证书的目录时,可以使用为用户证书设置的发布规则来发布 CA 签名证书。这可返回对象类违反错误或其他映射器中的错误。选择适当的序列号范围来排除 CA 签名证书可以避免出现这个问题。CA 签名证书是 root CA 发布的第一个证书。

  • 通过将 predicate 参数的值更改为 profileId!=caCACert 来修改用户证书的默认发布规则。
  • 使用 LdapCaCertPublisher publisher 插件模块来添加另一个规则,并将 predicate 参数设置为 profileId=caCACert,用于发布从属 CA 证书。

10.11.2. 手动更新目录中的 crl

证书管理器代理服务页面中的证书撤销列表 表单使用与 CRL 相关的信息手动更新目录。

通过执行以下操作手动更新 CRL 信息:

  1. 打开 证书管理器代理服务页面。
  2. 选择 Update Revocation List
  3. 单击 Update

证书管理器开始在其内部数据库中使用 CRL 更新目录。如果 CRL 较大,更新目录需要相当长的时间。在此期间,对 CRL 所做的任何更改都不会包含在更新中。

更新目录后,证书管理器会显示状态报告。如果进程中断,服务器会记录错误消息。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat, Inc.