主页
产品
Red Hat Certificate System
10
规划、安装和部署指南
6.3. Red Hat Directory Server 安装先决条件

6.3. Red Hat Directory Server 安装先决条件

在安装 PKI 子系统之前，您必须确保满足某些前提条件。每个系统都必须正确配置完全限定域名(FQDN)

另外，对于每个证书系统实例安装，您必须安装一个目录服务器实例，且可能位于与证书系统实例的单独主机上，您必须确保主机名已正确配置，并被证书系统实例主机识别。

6.3.1. FQDN 配置
复制链接

为了能够正常工作的 PKI 系统，系统中的每台机器都必须具有正确的完全限定域名。

按照以下步骤在每个机器上配置完全限定域名。

6.3.1.1. 验证 FQDN
复制链接

要验证当前的 FQDN，请执行以下命令：

hostname

# hostname
pki.example.com

Copy to Clipboard

Toggle word wrap

6.3.1.2. 配置 FQDN
复制链接

如果主机名不是您期望的，请运行 hostnamectl 来设置主机名。例如，

设置 pki 机器的主机名，如下所示：
```
hostnamectl set-hostname pki.example.com
```
```
# hostnamectl set-hostname pki.example.com
```
Copy to Clipboard Toggle word wrap
设置 DS 机器的主机名，如下所示：
```
hostnamectl set-hostname dir.example.com
```
```
# hostnamectl set-hostname dir.example.com
```
Copy to Clipboard Toggle word wrap

将 CS 和 DS 机器 IP 地址和新主机名作为两个机器的 /etc/hosts 中的条目添加：

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
10.1.111.111 pki.example.com
10.2.222.222 dir.example.com

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
10.1.111.111 pki.example.com
10.2.222.222 dir.example.com

Copy to Clipboard

Toggle word wrap

更改后再次验证 FQDN：
```
hostname
```
```
# hostname
```
Copy to Clipboard Toggle word wrap

6.3.2. 安装 Red Hat Directory Server
复制链接

Red Hat Certificate System 使用 Red Hat Directory Server 来存储系统证书和用户数据。您可以在同一主机或网络中的不同主机上安装目录服务器和证书系统。

重要

如果要在托管 Directory Server 的 RHEL 系统上启用 FIPS 模式，则必须在安装 Directory Server 前在 RHEL 主机上启用 FIPS 模式。

确保启用了 FIPS 模式：

sysctl crypto.fips_enabled

# sysctl crypto.fips_enabled

Copy to Clipboard

Toggle word wrap

如果返回的值为 1，则启用 FIPS 模式。

6.3.2.1. 安装目录服务器软件包
复制链接

执行以下步骤来安装 Red Hat Directory Server 软件包：

使用 subscription-manager release --set 命令将 RHEL 版本固定到 8.10。例如：

subscription-manager release --list
subscription-manager release --set 8.10

# subscription-manager release --list
# subscription-manager release --set 8.10

Copy to Clipboard

Toggle word wrap

验证：

subscription-manager release --show

subscription-manager release --show

Copy to Clipboard

Toggle word wrap

确保您已附加了一个向主机提供目录服务器的订阅。

启用 Directory Server 软件包存储库：

subscription-manager repos --enable=dirsrv-11.9-for-rhel-8-x86_64-rpms

# subscription-manager repos --enable=dirsrv-11.9-for-rhel-8-x86_64-rpms

Copy to Clipboard

Toggle word wrap

安装 Directory 服务器和 openldap-clients 软件包：
```
dnf module install redhat-ds:11
```
```
# dnf module install redhat-ds:11
```
Copy to Clipboard Toggle word wrap

6.3.2.2. 目录服务器实例创建
复制链接

注：安装 DS 实例前，请确保完成以下流程：

按照此过程为 PKI 服务器准备本地 DS 实例。

注： DS 安装自动生成 bootstrap 自签名签名证书，该证书为 SSL 连接发布 bootstrap 服务器证书。PKI 安装利用此安全提供的完成安装。安装之后，bootstrap 服务器证书可以替换为由实际 CA 发布的服务器证书。

如果要禁用 bootstrap 证书生成和 SSL 连接，请在 sed 命令中设置 self_sign_cert = False。您仍然可以稍后启用 SSL 连接，方法是通过 Bootstrap Cert 在 DS 中启用 SSL 连接。

6.3.2.2.1. 创建 DS 实例
复制链接

6.3.2.2.1.1. 生成 DS 配置文件，如 ds.inf ：
复制链接

dscreate create-template ds.inf

$ dscreate create-template ds.inf

Copy to Clipboard

Toggle word wrap

自定义 DS 配置文件，如下所示：

sed -i \
    -e "s/^;instance_name = .*/instance_name = localhost/" \
    -e "s/^;root_password = .*/root_password = Secret.123/" \
    -e "s/^;suffix = .*/suffix = dc=example,dc=com/" \
    -e "s/^;create_suffix_entry = .*/create_suffix_entry = True/" \
    -e "s/^;self_sign_cert = .*/self_sign_cert = True/" \
    ds.inf

$ sed -i \
    -e "s/^;instance_name = .*/instance_name = localhost/" \
    -e "s/^;root_password = .*/root_password = Secret.123/" \
    -e "s/^;suffix = .*/suffix = dc=example,dc=com/" \
    -e "s/^;create_suffix_entry = .*/create_suffix_entry = True/" \
    -e "s/^;self_sign_cert = .*/self_sign_cert = True/" \
    ds.inf

Copy to Clipboard

Toggle word wrap

+ 在哪里

instance_name 指定 DS 实例的名称。在本例中，它设置为 localhost。
root_password 指定 DS admin 的密码，即 cn=Directory Manager。在本例中，它被设置为 Secret.123。
后缀指定 DS 实例的命名空间。在本例中，它被设置为 dc=example,dc=com。
self_sign_cert 指定是否为 SSL 连接创建自签名证书。在本例中，它被设置为 True。启用 SSL 连接。
如需更多信息，请参阅 DS 配置文件本身（即 ds.inf ）和 DS 文档中的参数描述。

如需更多信息，请参阅 DS 配置文件本身（即 ds.inf）和 DS 文档中的参数描述。

6.3.2.2.1.2. 创建实例
复制链接

最后，创建实例：

dscreate from-file ds.inf

$ dscreate from-file ds.inf

Copy to Clipboard

Toggle word wrap

6.3.2.2.2. 创建 PKI 子树
复制链接

注意： dc=pki,dc=example,dc=com 子树不是强制的，但强烈建议避免与共享同一 DS 实例的其他应用冲突。

DS 实例最初为空。使用 LDAP 客户端添加 root 条目和 PKI 基础条目，例如：

ldapadd -H ldap://$HOSTNAME -x -D "cn=Directory Manager" -w Secret.123 << EOF
dn: dc=pki,dc=example,dc=com
objectClass: domain
dc: pki
EOF

$ ldapadd -H ldap://$HOSTNAME -x -D "cn=Directory Manager" -w Secret.123 << EOF
dn: dc=pki,dc=example,dc=com
objectClass: domain
dc: pki
EOF

Copy to Clipboard

Toggle word wrap

安装子系统时，将创建各个 PKI 子系统的子树。创建所有 PKI 子系统时，LDAP 树类似如下：

dc=example,dc=com
+ dc=pki
  + dc=ca
  + dc=kra
  + dc=ocsp
  + dc=tks
  + dc=tps
  + dc=acme
  + dc=est

dc=example,dc=com
+ dc=pki
  + dc=ca
  + dc=kra
  + dc=ocsp
  + dc=tks
  + dc=tps
  + dc=acme
  + dc=est

Copy to Clipboard

Toggle word wrap

6.3.2.2.3. 启用 SSL 连接
复制链接

如果您之前设置了 self_sign_cert = False，并且现在决定创建 bootstrap 证书，以便使用 SSL 连接到 DS 安装 PKI，请遵循 DS 中启用 SSL 连接

注： bootstrap 服务器证书可能会在安装后由实际 CA 发布的服务器证书替换。

6.3.2.2.4. 配置复制
复制链接

请参阅配置 DS Replication。

6.3.2.2.5. 删除 DS 实例
复制链接

删除 DS 实例：

dsctl localhost remove --do-it

$ dsctl localhost remove --do-it

Copy to Clipboard

Toggle word wrap

6.3.2.2.6. 日志文件
复制链接

DS 日志文件位于 /var/log/dirsrv/slapd-localhost 中：

access
audit
errors

6.3.2.2.7. 另请参阅
复制链接

配置 TLS/SSL 启用 389 目录服务器

6.3.2.3. 附加红帽订阅并启用证书系统软件包存储库
复制链接

在安装和更新证书系统前，您必须启用对应的存储库：

使用 subscription-manager release --set 命令将 RHEL 版本固定到 8.10。例如：

subscription-manager release --list
subscription-manager release --set 8.10

# subscription-manager release --list
# subscription-manager release --set 8.10

Copy to Clipboard

Toggle word wrap

验证：

subscription-manager release --show

subscription-manager release --show

Copy to Clipboard

Toggle word wrap

将红帽订阅附加到系统：

如果您的系统已经注册或具有附加了证书系统的订阅，请跳过这一步。

将该系统注册到红帽订阅管理服务。

您可以使用 --auto-attach 选项为操作系统自动应用可用的订阅。

subscription-manager register --auto-attach

# subscription-manager register --auto-attach
Username: admin@example.com
Password:
The system has been registered with id: 566629db-a4ec-43e1-aa02-9cbaa6177c3f

Installed Product Current Status:
Product Name:           Red Hat Enterprise Linux Server
Status:                 Subscribed

Copy to Clipboard

Toggle word wrap

列出可用的订阅并记录提供红帽认证系统的池 ID。例如：

subscription-manager list --available --all

# subscription-manager list --available --all
...
Subscription Name:   Red Hat Enterprise Linux Developer Suite
Provides:            ...
                     Red Hat Certificate System
                     ...
Pool ID:             7aba89677a6a38fc0bba7dac673f7993
Available:           1
...

Copy to Clipboard

Toggle word wrap

如果您有很多订阅，命令的输出可能会非常长。您可以选择将输出重定向到文件中：

subscription-manager list --available --all > /root/subscriptions.txt

# subscription-manager list --available --all > /root/subscriptions.txt

Copy to Clipboard

Toggle word wrap

使用上一步中的池 ID 将证书系统订阅附加到系统：

subscription-manager attach --pool=7aba89677a6a38fc0bba7dac673f7993

# subscription-manager attach --pool=7aba89677a6a38fc0bba7dac673f7993
Successfully attached a subscription for: Red Hat Enterprise Linux Developer Suite

Copy to Clipboard

Toggle word wrap

启用证书系统存储库：

subscription-manager repos --enable certsys-10.x-for-rhel-8-x86_64-rpms

# subscription-manager repos --enable certsys-10.x-for-rhel-8-x86_64-rpms
Repository 'certsys-10-for-rhel-8-x86_64-rpms' is enabled for this system.

Copy to Clipboard

Toggle word wrap

启用证书系统模块流：
```
dnf module enable redhat-pki
```
```
# dnf module enable redhat-pki
```
Copy to Clipboard Toggle word wrap

第 7 章 安装和配置 Red Hat Certificate System 中描述了安装所需的软件包。

注意

为合规，仅启用红帽批准的存储库。只有 Red Hat 批准的软件仓库只能通过 subscription-manager 工具启用。

返回顶部

6.3. Red Hat Directory Server 安装先决条件

6.3.1. FQDN 配置
复制链接

6.3.1.1. 验证 FQDN
复制链接

6.3.1.2. 配置 FQDN
复制链接

6.3.2. 安装 Red Hat Directory Server
复制链接

6.3.2.1. 安装目录服务器软件包
复制链接

6.3.2.2. 目录服务器实例创建
复制链接

6.3.2.2.1. 创建 DS 实例
复制链接

6.3.2.2.1.1. 生成 DS 配置文件，如 ds.inf ：
复制链接

6.3.2.2.1.2. 创建实例
复制链接

6.3.2.2.2. 创建 PKI 子树
复制链接

6.3.2.2.3. 启用 SSL 连接
复制链接

6.3.2.2.4. 配置复制
复制链接

6.3.2.2.5. 删除 DS 实例
复制链接

6.3.2.2.6. 日志文件
复制链接

6.3.2.2.7. 另请参阅
复制链接

6.3.2.3. 附加红帽订阅并启用证书系统软件包存储库
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.3. Red Hat Directory Server 安装先决条件

6.3.1. FQDN 配置复制链接链接已复制到粘贴板!

6.3.1.1. 验证 FQDN复制链接链接已复制到粘贴板!

6.3.1.2. 配置 FQDN复制链接链接已复制到粘贴板!

6.3.2. 安装 Red Hat Directory Server复制链接链接已复制到粘贴板!

6.3.2.1. 安装目录服务器软件包复制链接链接已复制到粘贴板!

6.3.2.2. 目录服务器实例创建复制链接链接已复制到粘贴板!

6.3.2.2.1. 创建 DS 实例复制链接链接已复制到粘贴板!

6.3.2.2.1.1. 生成 DS 配置文件，如 ds.inf ：复制链接链接已复制到粘贴板!

6.3.2.2.1.2. 创建实例复制链接链接已复制到粘贴板!

6.3.2.2.2. 创建 PKI 子树复制链接链接已复制到粘贴板!

6.3.2.2.3. 启用 SSL 连接复制链接链接已复制到粘贴板!

6.3.2.2.4. 配置复制复制链接链接已复制到粘贴板!

6.3.2.2.5. 删除 DS 实例复制链接链接已复制到粘贴板!

6.3.2.2.6. 日志文件复制链接链接已复制到粘贴板!

6.3.2.2.7. 另请参阅复制链接链接已复制到粘贴板!

6.3.2.3. 附加红帽订阅并启用证书系统软件包存储库复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.3.1. FQDN 配置
复制链接

6.3.1.1. 验证 FQDN
复制链接

6.3.1.2. 配置 FQDN
复制链接

6.3.2. 安装 Red Hat Directory Server
复制链接

6.3.2.1. 安装目录服务器软件包
复制链接

6.3.2.2. 目录服务器实例创建
复制链接

6.3.2.2.1. 创建 DS 实例
复制链接

6.3.2.2.1.1. 生成 DS 配置文件，如 ds.inf ：
复制链接

6.3.2.2.1.2. 创建实例
复制链接

6.3.2.2.2. 创建 PKI 子树
复制链接

6.3.2.2.3. 启用 SSL 连接
复制链接

6.3.2.2.4. 配置复制
复制链接

6.3.2.2.5. 删除 DS 实例
复制链接

6.3.2.2.6. 日志文件
复制链接

6.3.2.2.7. 另请参阅
复制链接

6.3.2.3. 附加红帽订阅并启用证书系统软件包存储库
复制链接