红帽全球峰会第 9 章 证书系统配置文件
每个子系统的主配置文件是其 CS.cfg 文件。本章论述了编辑 CS.cfg 文件的基本信息和规则。本章还描述了子系统使用的一些其他有用配置文件,如密码和 Web 服务文件。
9.1. 证书系统子系统的文件和目录位置
证书系统服务器由一个 Apache Tomcat 实例组成,其中包含 一个或多个子系统。每个子系统由一个 Web 应用组成,它处理特定类型的 PKI 功能的请求。
可用的子系统有:CA、KRA、TKS、TKS 和 TPS。每个实例只能包含每种 PKI 子系统类型之一。
可使用 pkispawn 命令在特定实例中安装子系统。
9.1.1. 实例特定信息
有关默认实例的实例信息(pki-tomcat,如果您在运行 pkispawn 时没有指定 pki_instance_name,请参阅 表 2.2 “Tomcat 实例信息”
| 端口类型 | 端口号 | 备注 |
|---|---|---|
| 安全端口 | 8443 | 通过 HTTPS 通过最终用户、代理和管理员访问 PKI 服务的主要端口。 |
| 不安全的端口 | 8080 | 用于通过 HTTP 对某些最终用户功能不安全访问服务器。用于提供 CRL,这些 CRL 已签名,因此不需要加密。 |
| 过程端口 | 8009 | 用于通过 IaaS 连接从前端 Apache 代理服务器访问服务器。重定向到 HTTPS 端口。 |
| Tomcat 端口 | 8005 | Web 服务器使用。 |
9.1.2. CA 子系统信息
本节包含有关 CA 子系统的详细信息,这是可以作为 Web 应用在证书服务器实例中安装的子系统之一。
| 设置 | 值 |
|---|---|
| 主目录 | /var/lib/pki/pki-tomcat/ca/ |
| 配置目录 | /var/lib/pki/pki-tomcat/ca/conf/ [a] |
| 配置文件 | /var/lib/pki/pki-tomcat/ca/conf/CS.cfg |
| 子系统证书 | CA 签名证书 |
| OCSP 签名证书(用于 CA 的内部 OCSP 服务) | |
| TLS 服务器证书 | |
| 审计日志签名证书 | |
| 子系统证书 [b] | |
| 安全数据库 | /var/lib/pki/pki-tomcat/alias/ [c] |
| 日志文件 | /var/lib/pki/pki-tomcat/ca/logs/ [d] |
| 安装日志 | /var/log/pki/pki-ca-spawn.date.log |
| 卸载日志 | /var/log/pki/pki-ca-destroy.date.log |
| 审计日志 | /var/log/pki/pki-tomcat/ca/logs/signedAudit/ |
| 配置集文件 | /var/lib/pki/pki-tomcat/ca/profiles/ca/ |
| 电子邮件通知模板 | /var/lib/pki/pki-tomcat/ca/emails/ |
| Web 服务文件 [e] | 代理服务: /usr/share/pki/ca/webapps/ca/agent/ |
| 管理服务: /usr/share/pki/ca/webapps/ca/admin/ | |
| 最终用户服务: /usr/share/pki/ca/webapps/ca/ee/ | |
[a]
别名为 /etc/pki/pki-tomcat/ca/
[b]
子系统证书始终由安全域发布,以便需要客户端身份验证的域级操作基于此子系统证书。
[c]
请注意,如果实例创建时,所有子系统证书都存储在实例安全数据库或关联的 HSM 中。
[d]
别名为 /var/lib/pki/pki-tomcat/ca
[e]
现在,现在有指向 webapp 位置的 web 描述符,而不是像过去一样特定于实例的 web 应用程序 文件。e.g. 在 /var/lib/pki/rhcs10-RSA-SubCA/conf/Catalina/localhost/ca.xml: <Context docBase="/usr/share/pki/ca/webapps/ca" crossContext="true">
| |
9.1.3. KRA 子系统信息
本节包含有关 KRA 子系统的详细信息,这是可以作为 Web 应用在证书服务器实例中安装的子系统之一。
| 设置 | 值 |
|---|---|
| 主目录 | /var/lib/pki/pki-tomcat/kra/ |
| 配置目录 | /var/lib/pki/pki-tomcat/kra/conf/ [a] |
| 配置文件 | /var/lib/pki/pki-tomcat/kra/conf/CS.cfg |
| 子系统证书 | 传输证书 |
| 存储证书 | |
| TLS 服务器证书 | |
| 审计日志签名证书 | |
| 子系统证书 [b] | |
| 安全数据库 | /var/lib/pki/pki-tomcat/alias/ [c] |
| 日志文件 | /var/lib/pki/pki-tomcat/kra/logs/ |
| 安装日志 | /var/log/pki/pki-kra-spawn-date.log |
| 卸载日志 | /var/log/pki/pki-kra-destroy-date.log |
| 审计日志 | /var/log/pki/pki-tomcat/kra/logs/signedAudit/ |
| Web 服务文件 [d] | 代理服务: /usr/share/pki/kra/webapps/kra/agent/ |
| 管理服务: /usr/share/pki/kra/webapps/kra/admin/ | |
[a]
链接到 /etc/pki/pki-tomcat/kra/
[b]
子系统证书始终由安全域发布,以便需要客户端身份验证的域级操作基于此子系统证书。
[c]
请注意,如果实例创建时,所有子系统证书都存储在实例安全数据库或关联的 HSM 中。
[d]
现在,现在有指向 webapp 位置的 web 描述符,而不是像过去一样特定于实例的 web 应用程序 文件。e.g. 在 /var/lib/pki/rhcs10-RSA-SubCA/conf/Catalina/localhost/ca.xml: <Context docBase="/usr/share/pki/ca/webapps/ca" crossContext="true">
| |
9.1.4. OCSP 子系统信息
本节包含有关 OCSP 子系统的详细信息,这是可以作为 Web 应用在证书服务器实例中安装的子系统之一。
| 设置 | 值 |
|---|---|
| 主目录 | /var/lib/pki/pki-tomcat/ocsp/ |
| 配置目录 | /var/lib/pki/pki-tomcat/ocsp/conf/ [a] |
| 配置文件 | /var/lib/pki/pki-tomcat/ocsp/conf/CS.cfg |
| 子系统证书 | 传输证书 |
| 存储证书 | |
| TLS 服务器证书 | |
| 审计日志签名证书 | |
| 子系统证书 [b] | |
| 安全数据库 | /var/lib/pki/pki-tomcat/alias/ [c] |
| 日志文件 | /var/lib/pki/pki-tomcat/ocsp/logs/ |
| 安装日志 | /var/log/pki/pki-ocsp-spawn-date.log |
| 卸载日志 | /var/log/pki/pki-ocsp-destroy-date.log |
| 审计日志 | /var/log/pki/pki-tomcat/ocsp/logs/signedAudit/ |
| Web 服务文件 [d] | 代理服务: /var/lib/pki/pki-tomcat/ocsp/webapps/ocsp/agent/ |
| 管理员服务: /var/lib/pki/pki-tomcat/ocsp/webapps/ocsp/admin/ | |
[a]
链接到 /etc/pki/pki-tomcat/ocsp/
[b]
子系统证书始终由安全域发布,以便需要客户端身份验证的域级操作基于此子系统证书。
[c]
请注意,如果实例创建时,所有子系统证书都存储在实例安全数据库或关联的 HSM 中。
[d]
现在,现在有指向 webapp 位置的 web 描述符,而不是像过去一样特定于实例的 web 应用程序 文件。e.g. 在 /var/lib/pki/rhcs10-RSA-SubCA/conf/Catalina/localhost/ca.xml: <Context docBase="/usr/share/pki/ca/webapps/ca" crossContext="true">
| |
9.1.5. TKS 子系统信息
本节包含有关 TKS 子系统的详细信息,这是可以作为 Web 应用在证书服务器实例中安装的子系统之一。
| 设置 | 值 |
|---|---|
| 主目录 | /var/lib/pki/pki-tomcat/tks/ |
| 配置目录 | /var/lib/pki/pki-tomcat/tks/conf/ [a] |
| 配置文件 | /var/lib/pki/pki-tomcat/tks/conf/CS.cfg |
| 子系统证书 | 传输证书 |
| 存储证书 | |
| TLS 服务器证书 | |
| 审计日志签名证书 | |
| 子系统证书 [b] | |
| 安全数据库 | /var/lib/pki/pki-tomcat/alias/ [c] |
| 日志文件 | /var/lib/pki/pki-tomcat/tks/logs/ |
| 安装日志 | /var/log/pki/pki-tks-spawn-date.log |
| 卸载日志 | /var/log/pki/pki-tks-destroy-date.log |
| 审计日志 | /var/log/pki/pki-tomcat/tks/logs/signedAudit/ |
| Web 服务文件 [d] | 代理服务: /usr/share/pki/tks/webapps/tks/agent/ |
| 管理服务: /usr/share/pki/tks/webapps/tks/admin/ | |
[a]
链接到 /etc/pki/pki-tomcat/tks/
[b]
子系统证书始终由安全域发布,以便需要客户端身份验证的域级操作基于此子系统证书。
[c]
请注意,如果实例创建时,所有子系统证书都存储在实例安全数据库或关联的 HSM 中。
[d]
现在,现在有指向 webapp 位置的 web 描述符,而不是像过去一样特定于实例的 web 应用程序 文件。e.g. 在 /var/lib/pki/rhcs10-RSA-SubCA/conf/Catalina/localhost/ca.xml: <Context docBase="/usr/share/pki/ca/webapps/ca" crossContext="true">
| |
9.1.6. TPS 子系统信息
本节包含有关 TPS 子系统的详细信息,这是可以作为 Web 应用在证书服务器实例中安装的子系统之一。
| 设置 | 值 |
|---|---|
| 主目录 | /var/lib/pki/pki-tomcat/tps |
| 配置目录 | /var/lib/pki/pki-tomcat/tps/conf/ [a] |
| 配置文件 | /var/lib/pki/pki-tomcat/tps/conf/CS.cfg |
| 子系统证书 | 传输证书 |
| 存储证书 | |
| TLS 服务器证书 | |
| 审计日志签名证书 | |
| 子系统证书 [b] | |
| 安全数据库 | /var/lib/pki/pki-tomcat/alias/ [c] |
| 日志文件 | /var/lib/pki/pki-tomcat/tps/logs/ |
| 安装日志 | /var/log/pki/pki-tps-spawn-date.log |
| 卸载日志 | /var/log/pki/pki-tps-destroy-date.log |
| 审计日志 | /var/log/pki/pki-tomcat/tps/logs/signedAudit/ |
| Web 服务文件 [d] | 代理服务: /usr/share/pki/tps/webapps/tps/agent/ |
| 管理服务: /usr/share/pki/tps/webapps/tps/admin/ | |
[a]
链接到 /etc/pki/pki-tomcat/tps/
[b]
子系统证书始终由安全域发布,以便需要客户端身份验证的域级操作基于此子系统证书。
[c]
请注意,如果实例创建时,所有子系统证书都存储在实例安全数据库或关联的 HSM 中。
[d]
现在,现在有指向 webapp 位置的 web 描述符,而不是像过去一样特定于实例的 web 应用程序 文件。e.g. 在 /var/lib/pki/rhcs10-RSA-SubCA/conf/Catalina/localhost/ca.xml: <Context docBase="/usr/share/pki/ca/webapps/ca" crossContext="true">
| |
9.1.7. 共享证书系统子系统文件位置
表 9.7 “子系统文件位置” 中列出了所有证书系统子系统实例用于常规服务器操作的目录或通用的目录。
| 目录位置 | 内容 |
|---|---|
| /var/lib/pki/instance_name | 包含主实例目录,这是实例特定目录位置的位置,以及自定义配置文件、配置文件、证书数据库和其他文件,供子系统实例使用。 |
| /usr/share/java/pki | 包含由证书系统子系统共享的 Java 存档文件。 |
| /usr/share/pki | 包含用于创建证书系统实例的常用文件和模板。除了所有子系统的共享文件外,子文件夹中还有特定于子系统的文件:
|
| /usr/bin /usr/sbin | 包含证书系统子系统共享的 pki 命令行脚本和工具(Java、原生和安全性)。 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}