Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

9.4. 克隆子系统

9.4.1. 克隆 OCSP 子系统

  1. 配置主 OCSP 并备份密钥。

  2. 在主 OCSP 的 CS.cfg 文件中,将 OCSP.Responder.store.defStore.refreshInSec 参数设置为任何超过 21600 的非零数;21600 是克隆的设置。 

    # vim /etc/ instance_name/CS.cfg

OCSP.Responder.store.defStore.refreshInSec=15000
    Copy to Clipboard

  3. 使用 pkispawn 工具创建 clone 子系统实例。

    有关克隆 OCSP 子系统时 pkispawn 所需的配置文件示例,请参阅 pkispawn (8) 手册页。

  4. 重启克隆所使用的 Directory 服务器实例。 

    # systemctl dirsrv@instance_name.service
    Copy to Clipboard
    注意

    重启 Directory 服务器会重新加载更新的模式,这是正确性能所必需的。

  5. 重启克隆实例。 

    # pki-server restart instance_name
    Copy to Clipboard

配置克隆后,测试以确保 master-clone 关系可以正常工作:

  1. 在 master CA 中设置 OCSP 发布,以便 CRL 发布到 master OCSP。
  2. 成功发布 CRL 后,检查代理页面中的 master 和克隆的 OCSP 的 List 证书颁发机构 链接。列表应该相同。
  3. 使用 OCSPClient 工具向 master 和克隆的在线证书状态管理器提交 OCSP 请求。该工具应该从两个管理器接收相同的 OCSP 响应。

9.4.2. 克隆 KRA 子系统

  1. 配置 master 子系统,再备份密钥。

  2. 使用 pkispawn 工具创建 clone 子系统实例。

    有关克隆 KRA 子系统时 pkispawn 所需的配置文件示例,请参阅 pkispawn (8) 手册页中的 安装 KRA 或 TPS 克隆 部分。

  3. 重启克隆所使用的 Directory 服务器实例。 

    # systemctl dirsrv@instance_name.service
    Copy to Clipboard
    注意

    重启 Directory 服务器会重新加载更新的模式,这是正确性能所必需的。

  4. 重启克隆实例。 

    # pki-server restart instance_name
    Copy to Clipboard

对于 KRA 克隆,测试以确保 master-clone 关系正常运行:

  1. 进入 KRA 代理的页面。
  2. 单击 List Requests
  3. 为请求类型和状态选择 Show all requests
  4. Submit
  5. 比较克隆的 KRA 和主 KRA 的结果。结果相同。

9.4.3. 克隆 TKS 子系统

  1. 配置 master 子系统,再备份密钥。

  2. 使用 pkispawn 工具创建 clone 子系统实例。

    有关在克隆 TKS 子系统时 pkispawn 所需的配置文件示例,请参阅 pkispawn (8) 手册页中的 安装 KRA 或 TKS 克隆 部分。

  3. 重启克隆实例。 

    # pki-server restart instance_name
    Copy to Clipboard

对于 TKS,注册智能卡,然后运行 ldapsearch 以确保两个数据库中包含相同的密钥信息。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat