红帽全球峰会20.2. 迁移 KRA
简单 KRA 迁移需要以下步骤:
位于 alpha.example.com 上的 KRA 包含数据,而位于 omega.example.com 上的 KRA 尚不存在。
| Hostname | PKI KRA 版本 |
|---|---|
| alpha.example.com | RHCS 9.7 上的 PKI KRA 10.5 |
| omega.example.com | RHCS 10.4 中的 PKI KRA 10.13 |
20.2.1. 在新主机上设置 KRA
以 root 用户身份在 omega.example.com 上:
- 在 omega.example.com 上安装和配置一个新的 PKI 10.13 KRA。
停止 KRA 实例。
systemctl stop pki-tomcatd@<pki-kra>
# systemctl stop pki-tomcatd@<pki-kra>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 创建目录以导出所有必需的文件。
mkdir -p /export/pki
# mkdir -p /export/pkiCopy to Clipboard Copied! Toggle word wrap Toggle overflow 将 KRA 存储证书导出到文件。稍后您将需要 KRA 存储证书来重新加密 alpha 上 KRA 的解密的旧数据。在以下示例中,该文件名为
omega.crt:Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
将
omega.crt文件移到/export/pki目录。 停止 Directory 服务器。
systemctl stop dirsrv@omega
# systemctl stop dirsrv@omegaCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注意如果缺少
db2ldif,请安装389-ds-base-legacy-tools软件包。提取 KRA LDAP 数据库配置。您需要新的 KRA LDAP 数据库配置,才能将旧数据转换为新数据。
/usr/lib64/dirsrv/slapd-omega/db2ldif -n <pki-kra-KRA> -a /tmp/omega.ldif
# /usr/lib64/dirsrv/slapd-omega/db2ldif -n <pki-kra-KRA> -a /tmp/omega.ldifCopy to Clipboard Copied! Toggle word wrap Toggle overflow 将
/tmp/omega.ldif文件移动到/export/pki目录。mv /tmp/omega.ldif /export/pki/
# mv /tmp/omega.ldif /export/pki/Copy to Clipboard Copied! Toggle word wrap Toggle overflow
20.2.2. 从上一个系统中导出内容
以 root 用户身份在 alpha.example.com 上:
创建通用目录:
mkdir -p /export/pki
# mkdir -p /export/pkiCopy to Clipboard Copied! Toggle word wrap Toggle overflow 停止 Directory 服务器。在本例中,服务器名为 alpha :
systemctl stop dirsrv@alpha
# systemctl stop dirsrv@alphaCopy to Clipboard Copied! Toggle word wrap Toggle overflow 从 KRA LDAP 数据库生成 LDIF:
/usr/lib64/dirsrv/slapd-alpha/db2ldif -n <pki-kra-KRA> -a /tmp/alpha.ldif
# /usr/lib64/dirsrv/slapd-alpha/db2ldif -n <pki-kra-KRA> -a /tmp/alpha.ldifCopy to Clipboard Copied! Toggle word wrap Toggle overflow 将
/tmp/alpha.ldif文件移到/export/pki目录中:mv /tmp/alpha.ldif /export/pki/
# mv /tmp/alpha.ldif /export/pki/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将 KRA NSS 安全数据库复制到数据区域:
cp -p /var/lib/pki/<pki-kra>/alias/* /export/pki/
# cp -p /var/lib/pki/<pki-kra>/alias/* /export/pki/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 进入
/export/pki目录:cd /export/pki
# cd /export/pkiCopy to Clipboard Copied! Toggle word wrap Toggle overflow 从 omega.example.com 获取包含新 KRA 存储证书的 flat-file :
sftp root@omega.example.com sftp> cd /export/pki sftp> get omega.crt sftp> quit
sftp root@omega.example.com sftp> cd /export/pki sftp> get omega.crt sftp> quitCopy to Clipboard Copied! Toggle word wrap Toggle overflow 获取内部密码:
cat /var/lib/<instance_name>/conf/password.conf
# cat /var/lib/<instance_name>/conf/password.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在 alpha.example.com 上运行
KRATool:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意或者,您可以创建一个受未授权访问保护的纯文本文件,该文件仅包含证书或证书数据库自动访问的密码。使用
-source_pki_security_database_pwdfile < path_to_PKI_password_file> 命令行选项将此文件添加到KRATool中。将
alpha2omega.ldif文件复制到 omega.example.com :sftp root@omega.example.com sftp> cd /export/pki sftp> put alpha2omega.ldif sftp> quit
sftp root@omega.example.com sftp> cd /export/pki sftp> put alpha2omega.ldif sftp> quitCopy to Clipboard Copied! Toggle word wrap Toggle overflow
20.2.3. 将数据导入到新的 KRA
以 root 用户身份在 omega.example.com 上:
前往
/export/pki目录。cd /export/pki
# cd /export/pkiCopy to Clipboard Copied! Toggle word wrap Toggle overflow 连接
ldif文件:cat omega.ldif alpha2omega.ldif > omega_alpha.ldif
# cat omega.ldif alpha2omega.ldif > omega_alpha.ldifCopy to Clipboard Copied! Toggle word wrap Toggle overflow 将
omega_alpha.ldif文件导入到与 PKI KRA 关联的 LDAP 数据库中:/usr/lib64/dirsrv/slapd-omega/ldif2db -n <pki-kra-KRA> -i /export/pki/omega_alpha.ldif
# /usr/lib64/dirsrv/slapd-omega/ldif2db -n <pki-kra-KRA> -i /export/pki/omega_alpha.ldifCopy to Clipboard Copied! Toggle word wrap Toggle overflow 启动 Directory 服务器:
systemctl start dirsrv@omega
# systemctl start dirsrv@omegaCopy to Clipboard Copied! Toggle word wrap Toggle overflow 启动 KRA 实例。
systemctl start pki-tomcatd@<pki-kra>
# systemctl start pki-tomcatd@<pki-kra>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
20.2.4. 从 KRA Agent Page 验证迁移的密钥是否存在
最后一步是执行从 KRA Agent 页面迁移的密钥恢复。
20.2.5. 升级后测试
在升级前跟踪用户密钥的关键恢复操作。
流程 21.1.密钥恢复测试
显示升级前创建的 base64 用户证书。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 使用此证书通过 KRA Agent UI 生成密钥恢复请求。
批准恢复请求。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 从 KRA UI 下载密钥。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}