Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

9.5. 转换 master 和克隆

同一拓扑中只能有一个活跃的 CA 生成 CRL。同样,在同一拓扑中只能有一个 OCSP 接收 CRL。因此,可以有任意数量的克隆,但只能为 CA 和 OCSP 配置了一个 master。

对于 KRA 和 TKS,master 和克隆之间没有配置区别,但 CA 和 OCSP 有一些配置区别。这意味着,当主设备离线时,因为一个故障或维护,或更改 PKI -then 中子系统的功能必须重新配置为克隆,其中一个克隆提升为主卷。

9.5.1. 转换 CA 克隆和 master

  1. 如果 master CA 仍在运行,则停止它。

  2. 打开现有的 master CA 配置目录:

    Copy to Clipboard Toggle word wrap 
    # cd /var/lib/pki/ instance_name/ca/conf

  3. 编辑 master 的 CS.cfg 文件,并更改 CRL 和维护线程设置,使其设置为克隆:

    • 禁用对数据库维护线程的控制:

      Copy to Clipboard Toggle word wrap 
      ca.certStatusUpdateInterval=0

    • 禁用监控数据库复制更改:

      Copy to Clipboard Toggle word wrap 
      ca.listenToCloneModifications=false

    • 禁用 CRL 缓存维护:

      Copy to Clipboard Toggle word wrap 
      ca.crl.IssuingPointId.enableCRLCache=false

    • 禁用 CRL 生成:

      Copy to Clipboard Toggle word wrap 
      ca.crl.IssuingPointId.enableCRLUpdates=false

    • 将 CA 设置为将 CRL 请求重定向到新 master:

      Copy to Clipboard Toggle word wrap 
      master.ca.agent.host=new_master_hostname
master.ca.agent.port=new_master_port

  4. 停止克隆的 CA 服务器。

    Copy to Clipboard Toggle word wrap 
    # pki-server stop instance_name

  5. 打开克隆的 CA 的配置目录。

    Copy to Clipboard Toggle word wrap 
    # cd /etc/instance_name

  6. 编辑 CS.cfg 文件,将克隆配置为新的 master。

    1. 删除以 ca.crl. 前缀开头的每行。
    2. 将之前 master CA CS.cfg 文件中的 ca.crl. 前缀开头的每行复制到克隆的 CA CS.cfg 文件中。

    3. 启用数据库维护线程控制;主 CA 的默认值是 600

      Copy to Clipboard Toggle word wrap 
      ca.certStatusUpdateInterval=600

    4. 启用监控数据库复制:

      Copy to Clipboard Toggle word wrap 
      ca.listenToCloneModifications=true

    5. 启用 CRL 缓存维护:

      Copy to Clipboard Toggle word wrap 
      ca.crl.IssuingPointId.enableCRLCache=true

    6. 启用 CRL 生成:

      Copy to Clipboard Toggle word wrap 
      ca.crl.IssuingPointId.enableCRLUpdates=true

    7. 禁用 CRL 生成请求的重定向设置:

      Copy to Clipboard Toggle word wrap 
      master.ca.agent.host=hostname
master.ca.agent.port=port number

  7. 启动新的 master CA 服务器。

    Copy to Clipboard Toggle word wrap 
    # pki-server start instance_name

9.5.2. 转换 OCSP 克隆

  1. 如果仍在运行,则停止 OCSP master。

  2. 打开现有的 master OCSP 配置目录。

    Copy to Clipboard Toggle word wrap 
    # cd /etc/instance_name

  3. 编辑 CS.cfg,并将 OCSP.Responder.store.defStore.refreshInSec 参数重置为 21600

    Copy to Clipboard Toggle word wrap 
    OCSP.Responder.store.defStore.refreshInSec=21600

  4. 停止在线克隆的 OCSP 服务器。

    Copy to Clipboard Toggle word wrap 
    # pki-server stop instance_name

  5. 打开克隆的 OCSP 响应器配置目录。

    Copy to Clipboard Toggle word wrap 
    # cd /etc/instance_name

  6. 打开 CS.cfg 文件,并删除 OCSP.Responder.store.defStore.refreshInSec 参数,或者将其值改为任何非零数字:

    Copy to Clipboard Toggle word wrap 
    OCSP.Responder.store.defStore.refreshInSec=15000

  7. 启动新的 master OCSP 响应程序服务器。

    Copy to Clipboard Toggle word wrap 
    # pki-server start instance_name
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat, Inc.