红帽全球峰会6.5. 证书系统软件包
安装证书系统软件包时,您可以单独为每个子系统安装它们,也可以一次性安装它们。
要安装和更新证书系统软件包,您必须启用对应的存储库。详情请查看 第 6.4.3 节 “附加红帽订阅并启用证书系统软件包存储库”。
以下子系统软件包和组件在 Red Hat Certificate System 中提供:
- pki-ca: 提供证书颁发机构(CA)子系统。
- pki-kra :提供密钥恢复授权(KRA)子系统。
- pki-ocsp :提供在线证书状态协议(OCSP)响应程序。
- pki-tks :提供令牌密钥服务(TKS)。
- pki-tps :提供令牌处理服务(TPS)。
- pki-console 和 redhat-pki-console-theme: 提供基于 Java 的红帽 PKI 控制台。必须安装这两个软件包。
pki-server 和 redhat-pki-server-theme: 提供基于 Web 的证书系统接口。必须安装这两个软件包。
如果您安装以下软件包之一,则会作为依赖项安装: pki-ca,pki-kra,pki-ocsp,pki-tks,pki-tps
- pki-acme: 提供自动证书管理环境(ACME)。
- pki-est: 提供安全传输(EST)注册。
6.5.1. 安装证书系统软件包
使用 redhat-pki 模块,您可以在 RHEL 8 系统上安装所有证书系统子系统软件包和组件。redhat-pki 模块安装 Red Hat Certificate System 的五个子系统:除了 pki-core 模块(CA, KRA) (Red Hat Identity Management (IdM)的一部分),包括 RHCS 特定的子系统(OCSP、TKS 和 TPS),以及 pki-deps 模块来处理所需的依赖项。
# yum install redhat-pki
或者,您可以单独安装软件包。例如,要安装 CA 子系统和可选 Web 界面:
# yum install pki-ca redhat-pki-server-theme
对于其他子系统,将 pki-ca 软件包名称替换为您要安装的子系统之一。
如果您需要可选的 PKI 控制台:
# yum install pki-console redhat-pki-console-theme
注意pkiconsole工具将被弃用。
6.5.2. 更新证书系统软件包
要更新证书系统和操作系统软件包,请使用以下流程:
- 按照 第 6.5.3 节 “确定证书系统产品版本” 中的说明检查产品版本。
执行 \ problem yum update
以上命令更新整个系统,包括 RHCS 软件包。
注意我们建议调度维护窗口,您可以在其中使 PKI 基础架构离线来安装更新。
重要更新证书系统需要重启 PKI 基础架构。
然后,使用以下 第 6.5.3 节 “确定证书系统产品版本” 再次检查版本。
版本号应该确认已成功安装了更新。
要在不安装的情况下下载更新,请使用上述流程中的-- downloadonly 选项:
yum update --downloadonly
下载的软件包存储在 /var/cache/yum/ 目录中。如果软件包是最新版本,则 yum update 将会使用它们。
6.5.3. 确定证书系统产品版本
Red Hat Certificate System 产品版本存储在 /usr/share/pki/CS'SERVER_VERSION 文件中。显示版本:
# cat /usr/share/pki/CS_SERVER_VERSION
Red Hat Certificate System {Version} (Batch Update 1)要查找正在运行的服务器的产品版本,请从浏览器访问以下 URL:
-
http://host_name:[rep]port_number/ca/admin/ca/getStatus -
http://host_name:[rep]port_number/kra/admin/kra/getStatus -
http://host_name:[rep]port_number/ocsp/admin/ocsp/getStatus -
http://host_name:[rep]port_number/tks/admin/tks/getStatus -
http://host_name:[rep]port_number/tps/admin/tps/getStatus
请注意,每个组件都是一个单独的软件包,因此可以有单独的版本号。以上将显示每个当前运行的组件的版本号。
