红帽全球峰会第 6 章 安装的先决条件和准备
Red Hat Certificate System 安装过程需要一些准备环境。本章论述了安装证书系统子系统时的要求、依赖项和其他先决条件。
6.1. 安装 Red Hat Enterprise Linux
Red Hat Certificate System 10.8 需要 Red Hat Enterprise Linux 8.10 版本。有关安装 Red Hat Enterprise Linux 的详情,请参考 执行标准 RHEL 安装。
要在 Red Hat Enterprise Linux 上启用联邦信息处理标准(FIPS),请参阅红帽 安全强化指南。
在安装证书系统前,强烈建议在 RHEL 主机上启用 FIPS 模式。
启用 FIPS:
fips-mode-setup --enable
# fips-mode-setup --enableCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 重新启动系统。
验证启用了 FIPS 模式:
sysctl crypto.fips_enabled
# sysctl crypto.fips_enabledCopy to Clipboard Copied! Toggle word wrap Toggle overflow 如果返回的值为
1,则启用 FIPS 模式。
当为 RHEL 启用 FIPS 模式时,证书系统使用的附加的 HSM 模式也必须处于 FIPS 模式。请参阅 第 6.2.1 节 “在 HSM 中启用 FIPS 模式”。
6.1.1. 使用 SELinux 保护系统
Security-Enhanced Linux (SELinux)是 Linux 内核中强制访问控制机制的实现,在检查标准自主访问控制后检查允许的操作。SELinux 可以根据定义的策略对 Linux 系统中的文件和进程以及其操作实施规则。
在大多数情况下,不需要在 enforcing 模式下运行 SELinux 的证书系统。如果证书系统文档中的流程需要手动设置与 SELinux 相关的设置,比如在使用硬件安全模块(HSM)时,这在相应的部分中提到。
默认情况下,在安装 Red Hat Enterprise Linux 后,SELinux 会被启用并在 enforcing 模式下运行,且不需要进一步的操作。
要验证当前的 SELinux 模式,请输入:
getenforce
# getenforceCopy to Clipboard Copied! Toggle word wrap Toggle overflow
有关 SELinux 的详情,请查看 使用 SELinux 指南。
6.1.2. 配置防火墙
下表列出了证书系统子系统使用的默认端口:
| 服务 | 端口 | 协议 |
|---|---|---|
| HTTP | 8080 | TCP |
| HTTPS | 8443 | TCP |
| Tomcat 管理 | 8005 | TCP |
当使用 pkispawn 工具设置证书系统时,您可以自定义端口号。如果您使用与以上列出的默认值不同的端口,请在防火墙中相应地打开它们,如 在防火墙中打开所需端口 所述。有关端口的详情,请参考 第 5.5.3 节 “规划端口”。
有关访问目录服务器所需的端口,请参阅 DirectoryServer 安装指南 中的相应部分。
在防火墙中打开所需端口
要启用客户端和证书系统之间的通信,请在防火墙中打开所需的端口:
确保
firewalld服务正在运行。systemctl status firewalld
# systemctl status firewalldCopy to Clipboard Copied! Toggle word wrap Toggle overflow 启动
firewalld并将其配置为在系统引导时自动启动:systemctl start firewalld systemctl enable firewalld
# systemctl start firewalld # systemctl enable firewalldCopy to Clipboard Copied! Toggle word wrap Toggle overflow 使用
firewall-cmd工具打开所需的端口。例如,要在默认防火墙区中打开证书系统默认端口:firewall-cmd --permanent --add-port={8080/tcp,8443/tcp,8009/tcp,8005/tcp}# firewall-cmd --permanent --add-port={8080/tcp,8443/tcp,8009/tcp,8005/tcp}Copy to Clipboard Copied! Toggle word wrap Toggle overflow 有关使用
firewall-cmd在系统上打开端口的详情,请参考 保护网络或 firewall-cmd(1) man page。重新载入防火墙配置以确保更改会立即进行:
firewall-cmd --reload
# firewall-cmd --reloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}