Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

13.4. 审计保留

根据保留类别,必须以以下方式保留审计数据:

  • 扩展审计 :为证书生命周期保留的必要维护的审计数据(来自过期或撤销日期)。在证书系统中,它们会出现在以下区域中:

    • 签名的审计日志: 管理指南中的附录 E Audit 事件 (通用标准版)中定义的所有事件
    • 在 CA 的内部 LDAP 服务器中,当请求被批准时,CA 和证书记录接收的证书请求记录。
  • 常规审计保留:通常只保留的审计数据来支持正常操作。这包括不属于 扩展审计保留类别的所有事件
注意

证书系统不提供任何修改或删除审计数据的接口。

13.4.1. 审核数据的位置
复制链接

本节介绍证书系统存储审计数据的位置,以及在哪里查找执行关键角色来确定保留类别的过期日期。

13.4.1.1. 审计日志的位置
复制链接

证书系统将审计日志存储在 /var/log/pki/instance_name/subsystem_type/signedAudit/ 目录中。例如,CA 的审计日志存储在 /var/log/pki/instance_name/ca/signedAudit/ 目录中。普通用户无法访问此目录中的文件。请参阅管理指南中的 12.1.2 管理审计日志 (Common Standard Edition)。

有关需要遵循扩展审计保留周期的审计日志事件列表,请参阅管理指南中的附录 E Audit 事件 (Common Criteria Edition)

重要

不要删除包含"Extended Audit Events"附录中列出的任何事件的审计日志。

这些审计日志最多消耗磁盘分区中所有可用空间。

13.4.1.2. 证书请求和证书记录的位置
复制链接

提交证书签名请求(CSR)时,CA 会将 CSR 存储在 CA 的内部目录服务器提供的请求存储库中。当这些请求被批准后,每个证书都会成功发布的每个证书,将导致同一内部目录服务器在证书存储库中创建 LDAP 记录。

当使用 pkispawn 工具创建 CA 时,CA 的内部目录服务器在以下参数中指定:

  • pki_ds_hostname
  • pki_ds_ldap_port
  • pki_ds_database
  • pki_ds_base_dn

如果证书请求已被成功批准,可以通过请求 ID 或序列号访问 CA EE 门户来查看证书的有效性。

显示证书请求记录的有效性:

  1. https://host_name 下登录到 CA EE 门户:_port_/ca/ee/ca/
  2. 单击 Check Request Status
  3. 输入请求标识符。
  4. 单击 Issued Certificate
  5. 搜索 有效期

显示证书记录的有效性:

  1. https://host_name 下登录到 CA EE 门户:_port_/ca/ee/ca/
  2. 输入序列号范围。如果您搜索一个特定的记录,请在最低和最高序列号字段中输入记录的序列号。
  3. 点搜索结果。
  4. 搜索 有效期
重要

不要删除尚未过期的证书的证书记录请求。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat