第 9 章克隆子系统

首次配置新子系统实例时，红帽认证系统允许克隆或重复子系统，以进行证书系统的高可用性。克隆的实例在不同的机器上运行，以避免通过复制同步单点故障及其数据库。

主 CA 及其克隆的功能相同，它们只在序列号分配和 CRL 生成中有所不同。因此，本章将 master 或其任何克隆称为 复制 CA。

9.1. 从软件数据库备份子系统密钥

理想情况下，在实例首次创建时，master 实例的密钥会被备份。如果没有备份密钥，或者备份文件丢失，那么可以使用 PKCS12Export 工具从子系统实例的内部软件数据库提取密钥。例如：

PKCS12Export -debug -d /var/lib/pki/ instance_name/alias -w p12pwd.txt -p internal.txt -o master.p12

然后，将 PKCS libpmem 文件复制到克隆实例配置中使用的克隆机器中。如需了解更多详细信息，请参阅第 2.7.6 节 “克隆和密钥存储”。

注意

无法从 HSM 导出密钥。但是，在典型的部署中，HSM 支持网络访问权限，只要克隆实例使用与 master 相同的 HSM。如果两个实例都使用相同的密钥存储，则克隆会自然使用密钥。