红帽全球峰会5.3. 规划安全域
安全域 是 PKI 服务的注册表。PKI 服务(如 CA)注册这些域中自身的信息,以便 PKI 服务的用户可以通过检查注册表来查找其他服务。证书系统中的安全域服务管理 PKI 服务的注册,以进行证书系统子系统和一组共享信任策略。
该注册表提供该域内子系统提供的所有 PKI 服务的完整视图。每个证书系统子系统必须是主机或安全域的成员。
CA 子系统是可以托管安全域的唯一子系统。安全域共享用于特权用户和组信息的 CA 内部数据库,以确定哪些用户可以更新安全域、注册新的 PKI 服务和发布证书。
安全域是在 CA 配置期间创建的,它会在安全域 CA 的 LDAP 目录中自动创建条目。每个条目都包含关于域的所有重要信息。域中的每个子系统(包括注册安全域)都会记录在安全域容器条目下。
CA 唯一标识安全域的 URL。安全域也具有友好的名称,如 Corp I intranet PKI。所有其他子系统 - KRA、TPS、TKS、OCSP 和其他 CA 必须通过在配置子系统时提供安全域 URL 来成为安全域的成员。
安全域中的每个子系统共享同一信任策略和可信根,这些策略可以从不同的服务器和浏览器检索。安全域中提供的信息在新子系统配置过程中使用,从而简化和自动化配置过程。例如,当 TPS 需要连接到 CA 时,它可以查阅安全域来获取可用 CA 的列表。
每个 CA 都有自己的 LDAP 条目。安全域是 CA 条目下的机构组:
ou=Security Domain,dc=server.example.com-pki-ca
ou=Security Domain,dc=server.example.com-pki-ca
然后,安全域组织组下每个子系统类型都有一个列表,并有一个特殊的对象类(pkiSecurityGroup)来识别组类型:
cn=KRAList,ou=Security Domain,o=pki-tomcat-CA objectClass: top objectClass: pkiSecurityGroup cn: KRAList
cn=KRAList,ou=Security Domain,o=pki-tomcat-CA
objectClass: top
objectClass: pkiSecurityGroup
cn: KRAList
然后,每个子系统实例都存储为该组的成员,使用特殊的 pkiSubsystem 对象类来识别条目类型:
dn: cn=kra.example.com:8443,cn=KRAList,ou=Security Domain,o=pki-tomcat-CA objectClass: top objectClass: pkiSubsystem cn: kra.example.com:8443 host: server.example.com UnSecurePort: 8080 SecurePort: 8443 SecureAdminPort: 8443 SecureAgentPort: 8443 SecureEEClientAuthPort: 8443 DomainManager: false Clone: false SubsystemName: KRA kra.example.com 8443
dn: cn=kra.example.com:8443,cn=KRAList,ou=Security Domain,o=pki-tomcat-CA
objectClass: top
objectClass: pkiSubsystem
cn: kra.example.com:8443
host: server.example.com
UnSecurePort: 8080
SecurePort: 8443
SecureAdminPort: 8443
SecureAgentPort: 8443
SecureEEClientAuthPort: 8443
DomainManager: false
Clone: false
SubsystemName: KRA kra.example.com 8443如果子系统需要联系另一个子系统来执行某个操作,它将联系托管安全域的 CA (通过调用通过 CA 管理端口连接的 servlet)。然后,安全域 CA 从其 LDAP 数据库检索子系统的信息,并将该信息返回到请求子系统。
子系统使用子系统证书向安全域进行身份验证。
在规划安全域时请考虑以下几点:
- 托管安全域的 CA 可以由外部授权签名。
- 在一个机构中可以设置多个安全域。但是,每个子系统只能属于一个安全域。
- 可以克隆域中的子系统。克隆子系统实例分发系统负载并提供故障转移点。
- 安全域简化了 CA 和 KRA 之间的配置;KRA 可以将其 KRA 连接器信息推送(KRA)信息,并将证书传送到 CA,而不必手动复制证书到 CA。
- 证书系统安全域允许设置离线 CA。在这种情况下,离线 root 拥有自己的安全域。所有在线从属 CA 属于不同的安全域。
- 安全域简化了 CA 和 OCSP 之间的配置。OCSP 可将其信息推送到 CA,以设置 OCSP 发布,并从 CA 检索 CA 证书链并将其存储在内部数据库中。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}