红帽全球峰会第 13 章 证书系统配置文件
每个子系统的主配置文件是其 CS.cfg 文件。本章论述了编辑 CS.cfg 文件的基本信息和规则。本章还介绍了子系统使用的一些其他有用配置文件,如密码和 Web 服务文件。
13.1. 证书系统子系统的文件和目录位置
证书系统服务器由 Apache Tomcat 实例组成,其中包含 一个或多个子系统。每个子系统包含一个 Web 应用,它处理特定类型的 PKI 功能请求。
可用的子系统有:CA、KRA、OCSP、TKS 和 TPS。每个实例只能包含每种 PKI 子系统之一。
可使用 pkispawn 命令在特定实例中安装子系统。
13.1.1. 实例特定信息
有关默认实例(pki-tomcat)的实例信息,请参阅 表 2.2 “Tomcat 实例信息”
| 端口类型 | 端口号 | 备注 |
|---|---|---|
| 安全端口 | 8443 | 用于通过 HTTPS 通过最终用户、代理和管理员访问 PKI 服务的主要端口。 |
| 不安全的端口 | 8080 | 用于通过 HTTP 对一些端点功能进行非安全访问服务器。用于提供已签名的 CRL,因此不需要加密。 |
| AJP 端口 | 8009 | 用于通过 AJP 连接从前端 Apache 代理服务器访问服务器。重定向到 HTTPS 端口。 |
| Tomcat 端口 | 8005 | 由 Web 服务器使用。 |
13.1.2. CA 子系统信息
本节包含有关 CA 子系统的详细信息,这是可作为 Web 应用在证书服务器实例中安装的可能子系统之一。
| 设置 | 值 |
|---|---|
| 主目录 | /var/lib/pki/pki-tomcat/ca/ |
| 配置目录 | /var/lib/pki/pki-tomcat/ca/conf/ |
| 配置文件 | /var/lib/pki/pki-tomcat/ca/conf/CS.cfg |
| 子系统证书 | CA 签名证书 |
| OCSP 签名证书(用于 CA 的内部 OCSP 服务) | TLS 服务器证书 |
| 审计日志签名证书 | 子系统证书 |
| 安全数据库 | /var/lib/pki/pki-tomcat/alias/ |
| 日志文件 | /var/lib/pki/pki-tomcat/ca/logs/ |
| 安装日志 | /var/log/pki/pki-ca-spawn.date.log |
| 卸载日志 | /var/log/pki/pki-ca-destroy.date.log |
| 审计日志 | /var/log/pki/pki-tomcat/ca/signedAudit/ |
| 配置集文件 | /var/lib/pki/pki-tomcat/ca/profiles/ca/ |
| 电子邮件通知模板 | /var/lib/pki/pki-tomcat/ca/emails/ |
| Web 服务文件 | 代理服务: /var/lib/pki/pki-tomcat/ca/webapps/ca/agent/ |
| 管理服务: /var/lib/pki/pki-tomcat/ca/webapps/ca/admin/ | 最终用户服务: /var/lib/pki/pki-tomcat/ca/webapps/ca/ee/ |
13.1.3. KRA 子系统信息
本节包含有关 KRA 子系统的详细信息,这是可作为 Web 应用在证书服务器实例中安装的可能子系统之一。
| 设置 | 值 |
|---|---|
| 主目录 | /var/lib/pki/pki-tomcat/kra/ |
| 配置目录 | /var/lib/pki/pki-tomcat/kra/conf/ |
| 配置文件 | /var/lib/pki/pki-tomcat/kra/conf/CS.cfg |
| 子系统证书 | 传输证书 |
| 存储证书 | TLS 服务器证书 |
| 审计日志签名证书 | 子系统证书 |
| 安全数据库 | /var/lib/pki/pki-tomcat/alias/ |
| 日志文件 | /var/lib/pki/pki-tomcat/kra/logs/ |
| 安装日志 | /var/log/pki/pki-kra-spawn-date.log |
| 卸载日志 | /var/log/pki/pki-kra-destroy-date.log |
| 审计日志 | /var/log/pki/pki-tomcat/kra/signedAudit/ |
| Web 服务文件 | 代理服务: /var/lib/pki/pki-tomcat/kra/webapps/kra/agent/ |
13.1.4. OCSP 子系统信息
本节包含有关 OCSP 子系统的详细信息,这是可作为证书服务器实例中的 Web 应用安装的可能子系统之一。
| 设置 | 值 |
|---|---|
| 主目录 | /var/lib/pki/pki-tomcat/ocsp/ |
| 配置目录 | /var/lib/pki/pki-tomcat/ocsp/conf/ |
| 配置文件 | /var/lib/pki/pki-tomcat/ocsp/conf/CS.cfg |
| 子系统证书 | 传输证书 |
| 存储证书 | TLS 服务器证书 |
| 审计日志签名证书 | 子系统证书 |
| 安全数据库 | /var/lib/pki/pki-tomcat/alias/ |
| 日志文件 | /var/lib/pki/pki-tomcat/ocsp/logs/ |
| 安装日志 | /var/log/pki/pki-ocsp-spawn-date.log |
| 卸载日志 | /var/log/pki/pki-ocsp-destroy-date.log |
| 审计日志 | /var/log/pki/pki-tomcat/ocsp/signedAudit/ |
| Web 服务文件 | 代理服务: /var/lib/pki/pki-tomcat/ocsp/webapps/ocsp/agent/ |
13.1.5. TKS 子系统信息
本节包含有关 TKS 子系统的详细信息,这是可作为证书服务器实例中的 Web 应用程序安装的可能子系统之一。
| 设置 | 值 |
|---|---|
| 主目录 | /var/lib/pki/pki-tomcat/tks/ |
| 配置目录 | /var/lib/pki/pki-tomcat/tks/conf/ |
| 配置文件 | /var/lib/pki/pki-tomcat/tks/conf/CS.cfg |
| 子系统证书 | 传输证书 |
| 存储证书 | TLS 服务器证书 |
| 审计日志签名证书 | 子系统证书 |
| 安全数据库 | /var/lib/pki/pki-tomcat/alias/ |
| 日志文件 | /var/lib/pki/pki-tomcat/tks/logs/ |
| 安装日志 | /var/log/pki/pki-tks-spawn-date.log |
| 卸载日志 | /var/log/pki/pki-tks-destroy-date.log |
| 审计日志 | /var/log/pki/pki-tomcat/tks/signedAudit/ |
| Web 服务文件 | 代理服务: /var/lib/pki/pki-tomcat/tks/webapps/tks/agent/ |
13.1.6. TPS 子系统信息
本节包含有关 TPS 子系统的详细信息,这是可作为 Web 应用在证书服务器实例中安装的可能子系统之一。
| 设置 | 值 |
|---|---|
| 主目录 | /var/lib/pki/pki-tomcat/tps |
| 配置目录 | /var/lib/pki/pki-tomcat/tps/conf/ |
| 配置文件 | /var/lib/pki/pki-tomcat/tps/conf/CS.cfg |
| 子系统证书 | 传输证书 |
| 存储证书 | TLS 服务器证书 |
| 审计日志签名证书 | 子系统证书 |
| 安全数据库 | /var/lib/pki/pki-tomcat/alias/ |
| 日志文件 | /var/lib/pki/pki-tomcat/tps/logs/ |
| 安装日志 | /var/log/pki/pki-tps-spawn-date.log |
| 卸载日志 | /var/log/pki/pki-tps-destroy-date.log |
| 审计日志 | /var/log/pki/pki-tomcat/tps/signedAudit/ |
| Web 服务文件 | 代理服务: /var/lib/pki/pki-tomcat/tps/webapps/tps/agent/ |
13.1.7. 共享证书系统子系统文件位置
表 13.7 “子系统文件位置” 中列出了所有证书系统子系统实例用于常规服务器操作的目录或通用的目录。
| 目录位置 | 内容 |
|---|---|
| /var/lib/instance_name | 包含主实例目录,这是特定于用户的目录位置,以及自定义配置文件、配置文件、证书数据库、Web 文件,以及子系统实例的其他文件的位置。 |
| /usr/share/java/pki | 包含由证书系统子系统共享的 Java 存档文件。除了所有子系统的共享文件外,子文件夹中还有特定于子系统的文件:
|
| /usr/share/pki | 包含用于创建证书系统实例的常用文件和模板。除了所有子系统的共享文件外,子文件夹中还有特定于子系统的文件:
|
| /usr/bin |
包含 Certificate System 子系统共享的 |
| /var/lib/tomcat5/common/lib | 包含指向本地 Tomcat Web 应用程序共享的 Java 归档文件的链接,并由证书系统子系统共享。不是由 TPS 子系统使用。 |
| /var/lib/tomcat5/server/lib | 包含本地 Tomcat Web 服务器使用的 Java 归档文件的链接,并由证书系统子系统共享。不是由 TPS 子系统使用。 |
| /usr/shared/pki | 包含 Tomcat 服务器以及证书系统实例使用的应用程序所使用的 Java 归档文件。不是由 TPS 子系统使用。 |
| 包含 TPS 子系统使用的 Apache 模块。没有被 CA、KRA、OCSP 或 TKS 子系统使用。 |
| TPS 子系统使用的 Mozilla LDAP SDK 工具。没有被 CA、KRA、OCSP 或 TKS 子系统使用。 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}