Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 11 章 其他安装选项

所有使用 pkispawn 创建的 Red Hat Certificate System 实例都对正在安装的实例造成某些假设,如用于 CA 签名证书的默认签名算法,以及是否为主机允许 IPv6 地址。

本章论述了影响新实例安装和配置的其他配置选项,因此创建实例前会发生其中许多流程。

11.1. 轻量级子 CA
复制链接

使用默认设置,您可以创建轻量级子 CA。它们允许您配置服务,如虚拟专用网络(VPN)网关,以仅接受由一个子 CA 发布的证书。同时,您可以将其他服务配置为仅接受由不同子 CA 或 root CA 发布的证书。

如果您撤销了子 CA 的中间证书,则此子 CA 发布的所有证书都会自动无效。

如果您在证书系统中设置 CA 子系统,则会自动使用 root CA。您创建的所有子 CA 都从属到这个 root CA。

11.1.1. 设置轻量级子 CA
复制链接

根据您的环境,子 CA 的安装在内部 CA 和外部 CA 之间有所不同如需更多信息,请参阅 安装带有外部 CA 签名证书的 CA 的示例

11.1.2. 禁用轻量级子 CA 的创建
复制链接

在某些情况下,管理员希望禁用轻量级子 CA。要防止添加、修改或删除子 CA,请在证书系统使用的 Directory Server 实例中输入以下命令: 

# ldapmodify -D "cn=Directory Manager" -W -x -h server.example.com

dn: cn=aclResources,o=instance_name
changetype: modify
delete: resourceACLS
resourceACLS: certServer.ca.authorities:create,modify:allow (create,modify)
  group="Administrators":Administrators may create and modify lightweight authorities
delete: resourceACLS
resourceACLS: certServer.ca.authorities:delete:allow (delete)
  group="Administrators":Administrators may delete lightweight authorities

这个命令会删除默认的访问控制列表(ACL)条目,该条目授予管理子 CA 的权限。

注意

如果修改了与轻量级子 CA 创建相关的 ACL,请删除相关值。

11.1.3. 重新启用轻量级子 CA 的创建
复制链接

如果您之前禁用了轻量级子 CA 的创建,您可以通过在证书系统使用的目录服务器实例上输入以下命令来重新启用该功能: 

# ldapmodify -D "cn=Directory Manager" -W -x -h server.example.com

dn: cn=aclResources,o=instance_name
changetype: modify
add: resourceACLS
resourceACLS: certServer.ca.authorities:create,modify:allow (create,modify)
  group="Administrators":Administrators may create and modify lightweight authorities
resourceACLS: certServer.ca.authorities:delete:allow (delete)
  group="Administrators":Administrators may delete lightweight authorities

此命令添加访问控制列表(ACL)条目,该条目授予管理子 CA 的权限。

Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部