红帽全球峰会17.4. 审计保留
需要根据保留类别以某种方式保留审计数据:
扩展审计 :为证书生命周期保留的必要维护的审计数据(来自过期或撤销日期)。在证书系统中,它们出现在以下区域:
- 已签名的审计日志:红帽认证系统管理指南中的附录 E. Audit 事件中定义的所有事件。
- 在 CA 的内部 LDAP 服务器中,当请求被批准时,CA 和证书记录接收的证书请求记录。
- 普通的审计保留:通常只保留的审计数据来支持正常操作。这包括不在 扩展的审计保留类别下的所有事件。
证书系统不提供任何用于修改或删除审计数据的接口。
17.4.1. 审核数据的位置
本节介绍证书系统存储审计数据的位置,以及在哪里查找扮演重要角色的过期日期,以确定保留类别。
17.4.1.1. 审计日志的位置
证书系统将审计日志存储在 /signedAudit/ 目录中。例如,CA 的审计日志存储在 /ca/logs/signedAudit/ 目录中。普通用户无法访问此目录中的文件。请参阅 //TBD: cfu: 链接 https://trello.com/c/3LuUsheO/373-cc-doc-1425-managing-audit-logs#
有关需要遵循扩展审计保留周期的审计日志事件列表,请参阅 Red Hat Certificate System Administration Guide 中的 Audit 事件 附录。
不要删除包含"Extended Audit Events"附录中列出的任何事件的审计日志。这些审计日志会使用磁盘分区中所有可用空间的存储空间。
17.4.1.2. 证书请求和证书记录的位置
提交证书签名请求(CSR)时,CA 会将 CSR 存储在 CA 的内部目录服务器提供的请求存储库中。批准这些请求后,每个证书都会成功发布,将导致同一内部目录服务器在证书存储库中创建 LDAP 记录。
当使用 pkispawn 工具创建 CA 时,CA 的内部目录服务器在以下参数中指定:
-
pki_ds_hostname -
pki_ds_ldap_port -
pki_ds_database -
pki_ds_base_dn
如果证书请求被成功批准,可以通过访问 CA EE 门户或序列号来查看证书的有效性。
显示证书请求记录的有效性:
-
在
https://host_name 下登录到 CA EE 门户:[rep]端口/ca/ee/ca/。 - 单击 。
- 输入 Request Identifier。
- 单击 。
- 搜索 有效期。
显示证书记录的有效性:
-
在
https://host_name 下登录到 CA EE 门户:[rep]端口/ca/ee/ca/。 - 输入序列号范围。如果您搜索一个特定的记录,请在最低和最高序列号字段中输入记录的序列号。
- 点搜索结果。
- 搜索 有效期。
不要删除尚未过期的证书的证书记录请求。
