红帽全球峰会8.3. 使用 HSM 安装克隆子系统
通常,克隆子系统会使用包含主子系统的系统密钥的 PKCS TOTP 文件创建。在安装 master 子系统时,该文件会在您用来安装的配置文件中将 pki_backup_keys 设置为 True,以及 pki_backup_password 选项的定义值,或使用 PKCS12Export 工具导出密钥。
在使用 HSM 时,您无法使用这个工具生成 PKCSautomationhub 文件,因为无法从 HSM 检索密钥。相反,克隆子系统应指向主子系统使用的 HSM,以便它可以访问相同的密钥。另外,如果使用单独的 HSM,请使用 HSM 供应商提供的工具将密钥克隆到此 HSM。在运行 pkispawn 工具前,您必须提供对 master 子系统的密钥的访问。
当使用 HSM 安装时,证书系统没有使用 PKCS TOTP,因此您不需要在配置文件中为 PKCSRG 文件及其密码设置参数。以下示例列出了生成 CA 克隆所需的相应 PKI 配置文件的 [Tomcat] 部分中的选项。
生成非HSM CA 克隆:
-
pki_clone=True -
pki_clone_pkcs12_password=Secret123 -
pki_clone_pkcs12_path=<path_to_pkcs12_file> -
pki_clone_replicate_schema=True (默认值) -
pki_clone_uri=https://<master_ca_host_name>:<master_ca_https_port>
使用 HSM 生成 CA 克隆:
-
pki_clone=True -
pki_clone_replicate_schema=True (默认值) -
pki_clone_uri=https://<master_ca_host_name>:<master_ca_https_port>
注意
要让 master 子系统与其克隆共享相同的证书和密钥,HSM 必须位于共享模式的网络中,并可以被所有子系统访问。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}