2.2. 证书系统子系统概述

2.2.1. 与共享实例分开
复制链接

Red Hat Certificate System 支持为所有子系统部署单独的 PKI 实例：

单独的 PKI 实例作为基于 Java 的 Apache Tomcat 实例运行。
单独的 PKI 实例包含一个 PKI 子系统(CA、KRA、TKS、TKS 或 TPS)。
如果位于同一物理虚拟机或虚拟机(VM)上在一起，则单独的 PKI 实例必须使用唯一的端口。

或者，证书系统支持部署共享 PKI 实例：

共享 PKI 实例也作为单一基于 Java 的 Apache Tomcat 实例运行。
包含单个 PKI 子系统的共享 PKI 实例与单独的 PKI 实例相同。
共享 PKI 实例可能包含最多一种 PKI 子系统的任意组合：
- 仅限 CA
- 仅限 TKS
- CA 和 KRA
- CA 和 OCSP
- TKS 和 TPS
- CA、KRA、TKS 和 TPS
- ca, KRA, OCSP, TKS, 和 TPS
- etc.
共享 PKI 实例允许该实例中包含的所有子系统共享相同的端口。
如果多个端口位于同一物理机或虚拟机上，则共享 PKI 实例必须使用唯一的端口。

2.2.2. 实例安装先决条件
复制链接

2.2.2.1. 目录服务器实例可用性
复制链接

在安装证书系统实例前，必须有一个本地或远程 Red Hat Directory Server LDAP 实例。有关安装红帽目录服务器的说明，请参阅红帽目录服务器安装指南。

2.2.2.2. PKI 软件包
复制链接

Red Hat Certificate System 由以下列出的软件包组成：

以下基本软件包形成了证书系统的核心，并可用于基本 Red Hat Enterprise Linux 软件仓库：
- pki-core
  - pki-base
  - pki-base-java
  - pki-ca
  - pki-javadoc
  - pki-kra
  - pki-server
  - pki-symkey
  - pki-tools
以下列出的软件包在基本 Red Hat Enterprise Linux 订阅频道 中不可用。要安装这些软件包，您必须附加一个 Red Hat Certificate System 订阅池并启用 RHCS 存储库。如需更多信息，请参阅第 6.2 节 “启用软件仓库”。
- pki-core
  - pki-console
  - pki-ocsp
  - pki-tks
  - pki-tps
- redhat-pki
  - redhat-pki: 包含 pki-core 模块的所有软件包。如果要单独选择 redhat-pki 软件包，建议禁用 pki-core 模块。
  - redhat-pki-console-theme
  - redhat-pki-server-theme

使用 Red Hat Enterprise Linux 8 系统（可选，使用中列出的受支持硬件安全模块配置了一个硬件安全模块），并在安装 Red Hat Certificate System 前确保所有软件包都为最新版本。

要安装所有证书系统软件包( pki-javadoc除外)，请使用 dnf 安装 redhat-pki metapackage：

dnf install redhat-pki

# dnf install redhat-pki

Copy to Clipboard

Toggle word wrap

或者，您可以根据需要安装一个或多个顶级 PKI 子系统软件包；有关确切的软件包名称，请参阅上面的列表。如果使用此方法，请确保还要安装 redhat-pki-server-theme 软件包，以及可选的 redhat-pki-console-theme 和 pki-console 以使用 PKI 控制台。

最后，开发人员和管理员可能还想安装 JSS 和 PKI javadoc ( jss-javadoc 和 pki-javadoc)。

注意

jss-javadoc 软件包要求您在 Subscription Manager 中启用 Server-Optional 存储库。

2.2.2.3. 实例安装和配置
复制链接

pkispawn 命令行工具用于安装和配置新的 PKI 实例。它消除了对单独安装和配置步骤的需求，可以作为批处理进程或两者的组合运行（带有密码提示的batch 进程）。该工具不提供安装或配置基于浏览器的图形界面的方法。

如需用法信息，请使用 pkispawn --help 命令。

pkispawn 命令：

从纯文本配置文件(/etc/pki/default.cfg)中读取其默认 name=value 对。
以交互方式或自动覆盖任何对，并以 Python 字典的形式存储最终结果。
执行有序的 Scriptlets 来执行 子系统和实例安装。
配置脚本将 Python 字典打包为 JavaScript 对象表示法(JSON)数据对象，然后传递给基于 Java 的配置 servlet。
配置 servlet 使用这个数据来配置新的 PKI 子系统，然后将控制传递给 pkispawn 可执行文件，后者可完成 PKI 设置。最终部署文件的副本存储在 /var/lib/pki/instance_name/<subsystem>/registry/<subsystem>/deployment.cfg中

详情请查看 pkispawn 手册页。

默认配置文件 /etc/pki/default.cfg 是包含默认安装和配置值的纯文本文件，这些值在上述过程开始时读取。它由 name=value 对组成，[DEFAULT], [Tomcat], [CA], [KRA], [OCSP], [TKS], 和 [TPS] 部分。

如果您将 use -s 选项与 pkispawn 一起使用并指定子系统名称，则只有该子系统的部分会被读取。

这些部分有一个层次结构：一个在 subsystem 部分中指定的 name=value 对将覆盖 [Tomcat] 部分中的对，后者又覆盖 [DEFAULT] 部分中的对。可以通过交互式输入，或通过指定 PKI 实例配置文件中对来进一步覆盖默认对。

注意

每当使用非交互式文件覆盖默认 name=value 对时，它们可能会存储在任意位置，并随时指定。这些文件在 pkispawn man page 中称为 myconfig.txt，但它们通常也称为 .ini 文件，或者更常见的是 PKI 实例配置覆盖文件。

如需更多信息，请参阅 pki_default.cfg 手册页。

配置 Servlet 由存储在 /usr/share/java/pki/pki-certsrv.jar 中的 Java 字节码组成，作为 com/netscape/certsrv/system/ConfigurationRequest.class。servlet 使用 pkispawn 来处理作为 JSON 对象传递的数据，然后使用与 com/netscape/certsrv/system/ConfigurationResponse.class 相同的文件中提供的 Java 字节码返回 pkispawn。

交互式安装示例仅涉及以 root 用户身份在命令行上运行 pkispawn 命令：

pkispawn

# pkispawn

Copy to Clipboard

Toggle word wrap

重要

目前只有非常基本的部署存在交互式安装。例如，使用克隆、Eliptic Curve Cryptography (ECC)、外部 CA、硬件安全模块(HSM)、从属 CA 等高级功能的部署必须在单独的配置文件中提供必要的覆盖参数。

非交互式安装需要 PKI 实例配置覆盖文件，进程可能类似以下示例：

创建 pki 目录：
```
mkdir -p /root/pki
```
```
# mkdir -p /root/pki
```
Copy to Clipboard Toggle word wrap

使用文本编辑器，如 vim，使用以下内容创建名为 /root/pki/ca.cfg 的配置文件：

[DEFAULT]
pki_admin_password=<password>
pki_client_pkcs12_password=<password>
pki_ds_password=<password>

[DEFAULT]
pki_admin_password=<password>
pki_client_pkcs12_password=<password>
pki_ds_password=<password>

Copy to Clipboard

Toggle word wrap

pkispawn -s CA -f /root/pki/ca.cfg

# pkispawn -s CA -f /root/pki/ca.cfg

Copy to Clipboard

Toggle word wrap

有关各种配置示例，请参阅 pkispawn 手册页。

2.2.2.4. 实例删除
复制链接

要删除现有的 PKI 实例，请使用 pkidestroy 命令。它可以以交互方式运行，也可以作为批处理进程运行。使用 pkidestroy -h 在命令行中显示详细的使用信息。

pkidestroy 命令在 PKI 子系统部署配置文件中读取，该文件在创建子系统时存储(/var/lib/pki/instance_name/ <subsystem>/registry/<subsystem> /deployment.cfg)，使用 read-in 文件来删除 PKI 子系统，如果它不包含额外的子系统，则删除 PKI 实例。如需更多信息，请参阅 pkidestroy 手册页。

使用 pkidestroy 进行交互式删除过程可能类似如下：

pkidestroy

# pkidestroy

Subsystem (CA/KRA/OCSP/TKS/TPS) [CA]:
Instance [pki-tomcat]:

Begin uninstallation (Yes/No/Quit)? Yes

Log file: /var/log/pki/pki-ca-destroy.20150928183547.log
Loading deployment configuration from /var/lib/pki/pki-tomcat/ca/registry/ca/deployment.cfg.
Uninstalling CA from /var/lib/pki/pki-tomcat.
rm '/etc/systemd/system/multi-user.target.wants/pki-tomcatd.target'

Uninstallation complete.

Copy to Clipboard

Toggle word wrap

非互动删除过程可能类似以下示例：

pkidestroy -s CA -i pki-tomcat

# pkidestroy -s CA -i pki-tomcat

Log file: /var/log/pki/pki-ca-destroy.20150928183159.log
Loading deployment configuration from /var/lib/pki/pki-tomcat/ca/registry/ca/deployment.cfg.
Uninstalling CA from /var/lib/pki/pki-tomcat.
rm '/etc/systemd/system/multi-user.target.wants/pki-tomcatd.target'

Uninstallation complete.

Copy to Clipboard

Toggle word wrap

2.2.3. 执行管理(systemctl)
复制链接

2.2.3.1. 启动、停止、重启和获取状态
复制链接

Red Hat Certificate System 子系统实例可以使用 Red Hat Enterprise Linux 8 上的 systemctl 执行管理系统工具停止并启动：

systemctl start <unit-file>@instance_name.service

# systemctl start <unit-file>@instance_name.service

Copy to Clipboard

Toggle word wrap

systemctl status <unit-file>@instance_name.service

# systemctl status <unit-file>@instance_name.service

Copy to Clipboard

Toggle word wrap

systemctl stop <unit-file>@instance_name.service

# systemctl stop <unit-file>@instance_name.service

Copy to Clipboard

Toggle word wrap

systemctl restart <unit-file>@instance_name.service

# systemctl restart <unit-file>@instance_name.service

Copy to Clipboard

Toggle word wrap

<unit-file> 具有以下值之一：

pki-tomcatd 			With watchdog disabled
pki-tomcatd-nuxwdog 		With watchdog enabled

pki-tomcatd 			With watchdog disabled
pki-tomcatd-nuxwdog 		With watchdog enabled

Copy to Clipboard

Toggle word wrap

有关 watchdog 服务的详情，请参考第 2.3.10 节 “密码和 watchdog (nuxwdog)” 和第 9.3.2 节 “使用证书系统 watchdog 服务”。

注意

在 RHCS 10 中，这些 systemctl 操作支持 pki-server 别名： pki-server <command> subsystem_instance_name 是 systemctl <command> pki-tomcatd@<instance>.service 的别名。

2.2.3.2. 自动启动实例
复制链接

Red Hat Enterprise Linux 中的 systemctl 工具管理服务器上每个进程的自动启动和关闭设置。这意味着，当系统重启时，可以自动重启某些服务。系统单元文件控制服务启动，以确保以正确顺序启动服务。systemd 服务和 systemctl 工具在 Red Hat Enterprise Linux 8 的配置基本系统设置指南中进行了描述。

证书系统实例可由 systemctl 管理，因此此实用程序可以设置是否自动重启实例。创建证书系统实例后，它会在引导时启用它。这可以通过使用 systemctl 进行修改：

systemctl disable pki-tomcatd@instance_name.service

# systemctl disable pki-tomcatd@instance_name.service

Copy to Clipboard

Toggle word wrap

重新启用实例：

systemctl enable pki-tomcatd@instance_name.service

# systemctl enable pki-tomcatd@instance_name.service

Copy to Clipboard

Toggle word wrap

注意

systemctl enable 和 systemctl disable 命令不会立即启动或停止证书系统。

2.2.4. 进程管理(pki-server 和 pkidaemon)
复制链接

2.2.4.1. pki-server 命令行工具
复制链接

Red Hat Certificate System 的主要进程管理工具是 pki-server。使用 pki-server --help 命令，并查看 pki-server 手册页。

pki-server 命令行界面(CLI)管理本地服务器实例（如服务器配置或系统证书）。按如下方式调用 CLI：

pki-server [CLI options] <command> [command parameters]

$ pki-server [CLI options] <command> [command parameters]

Copy to Clipboard

Toggle word wrap

CLI 使用服务器实例的配置文件和 NSS 数据库，因此 CLI 不需要任何之前的初始化。由于 CLI 直接访问文件，因此只能由 root 用户执行，而且不需要客户端证书。此外，无论服务器的状态如何，CLI 可以运行；它不需要正在运行的服务器。

CLI 支持以分级结构组织的多个命令。要列出顶层命令，请在没有任何额外命令或参数的情况下执行 CLI：

pki-server

$ pki-server

Copy to Clipboard

Toggle word wrap

有些命令有子命令。要列出它们，可使用命令名称执行 CLI，且没有其他选项。例如：

pki-server ca

$ pki-server ca

Copy to Clipboard

Toggle word wrap

pki-server ca-audit

$ pki-server ca-audit

Copy to Clipboard

Toggle word wrap

要查看命令用法信息，请使用 the -help 选项：

pki-server --help

$ pki-server --help

Copy to Clipboard

Toggle word wrap

pki-server ca-audit-event-find --help

$ pki-server ca-audit-event-find --help

Copy to Clipboard

Toggle word wrap

2.2.4.2. 使用 pki-server启用和禁用已安装的子系统
复制链接

要启用或禁用已安装的子系统，请使用 pki-server 工具。

pki-server subsystem-disable -i instance_id subsystem_id

# pki-server subsystem-disable -i instance_id subsystem_id

Copy to Clipboard

Toggle word wrap

pki-server subsystem-enable -i instance_id subsystem_id

# pki-server subsystem-enable -i instance_id subsystem_id

Copy to Clipboard

Toggle word wrap

使用有效的子系统标识符替换 subsystem_id ： ca、kra、tks、ocsp 或 tps。

注意

一个实例只能有一个类型的子系统。

例如，要在名为 pki-tomcat 的实例上禁用 OCSP 子系统：

pki-server subsystem-disable -i pki-tomcat ocsp

# pki-server subsystem-disable -i pki-tomcat ocsp

Copy to Clipboard

Toggle word wrap

列出实例安装的子系统：

pki-server subsystem-find -i instance_id

# pki-server subsystem-find -i instance_id

Copy to Clipboard

Toggle word wrap

显示特定子系统的状态：

pki-server subsystem-find -i instance_id subsystem_id

# pki-server subsystem-find -i instance_id subsystem_id

Copy to Clipboard

Toggle word wrap

2.2.4.3. pkidaemon 命令行工具
复制链接

Red Hat Certificate System 的另一个进程管理工具是 pkidaemon 工具：

pkidaemon {start|status} instance-type [instance_name]

# pkidaemon {start|status} instance-type [instance_name]

Copy to Clipboard

Toggle word wrap

pkidaemon status tomcat - 提供状态信息，如 on/off、port、系统上所有 PKI 实例的每个 PKI 子系统的 URL。
pkidaemon status tomcat instance_name - 提供状态信息，如 on/off、port、特定实例的每个 PKI 子系统的 URL。
pkidaemon 使用 systemctl 启动 tomcat instance_name.service - Used。

详情请查看 pkidaemon 手册页。

2.2.4.4. 查找子系统 Web 服务 URL
复制链接

CA、KRA、OCSP、TKS 和 TPS 子系统有可用于代理的网页，以及常规用户和管理员。可以通过打开子系统的安全最终用户端口到子系统主机的 URL 来访问这些 Web 服务。例如，对于 CA：

https://server.example.com:8443/ca/services

https://server.example.com:8443/ca/services

Copy to Clipboard

Toggle word wrap

注意

要获取实例的所有接口、URL 和端口的完整列表，请检查该服务的状态。例如：

pkidaemon status instance_name

pkidaemon status instance_name

Copy to Clipboard

Toggle word wrap

每个子系统的主要 Web 服务页面包含可用服务页面列表；下表中概述了这些页面。要专门访问任何服务，请访问适当的端口，并将适当的目录附加到 URL。例如，要访问 CA 的最终实体（普通用户）Web 服务：

https://server.example.com:8443/ca/ee/ca

https://server.example.com:8443/ca/ee/ca

Copy to Clipboard

Toggle word wrap

如果没有配置 DNS，则可以使用 IPv4 或 IPv6 地址连接到服务页面。例如：

https://192.0.2.1:8443/ca/services
https://[2001:DB8::1111]:8443/ca/services

https://192.0.2.1:8443/ca/services
https://[2001:DB8::1111]:8443/ca/services

Copy to Clipboard

Toggle word wrap

注意

任何人都可以访问子系统的最终用户页面。但是，访问代理或管理员网页要求在网页浏览器中发布并安装代理或管理员证书。否则，对 Web 服务的身份验证会失败。

Expand

表 2.1. 默认 Web 服务页面
端口	用于 SSL/TLS	用于客户端身份验证 ^[a]	Web Services	Web 服务位置
证书管理器
8080	否		结束实体	ca/ee/ca
8443	是	否	结束实体	ca/ee/ca
8443	是	是	代理	ca/agent/ca
8443	是	否	服务	ca/services
8443	是	否	控制台（Console）	pkiconsole https://host:port/ca
密钥恢复授权机构
8080	否		结束实体	kra/ee/kra
8443	是	否	结束实体	kra/ee/kra
8443	是	是	代理	kra/agent/kra
8443	是	否	服务	kra/services
8443	是	否	控制台（Console）	pkiconsole https://host:port/kra
在线证书状态管理器
8080	否		结束实体	ocsp/ee/ocsp
8443	是	否	结束实体	ocsp/ee/ocsp
8443	是	是	代理	ocsp/agent/ocsp
8443	是	否	服务	ocsp/services
8443	是	否	控制台（Console）	pkiconsole https://host:port/ocsp
令牌密钥服务
8080	否		结束实体	tks/ee/tks
8443	是	否	结束实体	tks/ee/tks
8443	是	是	代理	tks/agent/tks
8443	是	否	服务	tks/services
8443	是	否	控制台（Console）	pkiconsole https://host:port/tks
令牌处理系统
8080	否		非安全的服务	tps/tps
8443	是		保护服务	tps/tps
8080	否		企业安全客户端关联主页	tps/phoneHome
8443	是		企业安全客户端关联主页	tps/phoneHome
8443	是	是	admin, Agent, 和 Operator Services ^[b]	tps/ui
^[a] 客户端身份验证值 No 的服务可以被重新配置为需要客户端身份验证。没有 Yes 或 No 值的服务无法配置为使用客户端身份验证。 ^[b] 代理、管理员和操作员服务都通过相同的 Web 服务页面访问。每个角色只能访问仅对该角色成员可见的特定部分。

2.2.4.5. 启动证书系统控制台
复制链接

重要

此控制台已弃用。

CA、KRA、OCSP 和 TKS 子系统有一个 Java 接口，可用于执行管理功能。对于 KRA、OCSP 和 TKS，这包括配置日志记录和管理用户和组等非常基本的任务。对于 CA，这包括其他配置设置，如创建证书配置文件和配置发布。

控制台通过 pkiconsole 工具通过 SSL/TLS 端口连接到子系统实例来打开。这个工具使用格式：

pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:admin_port/subsystem_type

# pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:admin_port/subsystem_type

Copy to Clipboard

Toggle word wrap

subsystem_type 可以是 ca、kra、ocsp 或 tks。例如，这会打开 KRA 控制台：

pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/kra

# pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/kra

Copy to Clipboard

Toggle word wrap

如果没有配置 DNS，则可以使用 IPv4 或 IPv6 地址连接到控制台。例如：

https://192.0.2.1:8443/ca
https://[2001:DB8::1111]:8443/ca

https://192.0.2.1:8443/ca
https://[2001:DB8::1111]:8443/ca

Copy to Clipboard

Toggle word wrap

返回顶部

2.2. 证书系统子系统概述

2.2.1. 与共享实例分开
复制链接

2.2.2. 实例安装先决条件
复制链接

2.2.2.1. 目录服务器实例可用性
复制链接

2.2.2.2. PKI 软件包
复制链接

2.2.2.3. 实例安装和配置
复制链接

2.2.2.4. 实例删除
复制链接

2.2.3. 执行管理(systemctl)
复制链接

2.2.3.1. 启动、停止、重启和获取状态
复制链接

2.2.3.2. 自动启动实例
复制链接

2.2.4. 进程管理(pki-server 和 pkidaemon)
复制链接

2.2.4.1. pki-server 命令行工具
复制链接

2.2.4.2. 使用 pki-server启用和禁用已安装的子系统
复制链接

2.2.4.3. pkidaemon 命令行工具
复制链接

2.2.4.4. 查找子系统 Web 服务 URL
复制链接

2.2.4.5. 启动证书系统控制台
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

2.2. 证书系统子系统概述

2.2.1. 与共享实例分开复制链接链接已复制到粘贴板!

2.2.2. 实例安装先决条件复制链接链接已复制到粘贴板!

2.2.2.1. 目录服务器实例可用性复制链接链接已复制到粘贴板!

2.2.2.2. PKI 软件包复制链接链接已复制到粘贴板!

2.2.2.3. 实例安装和配置复制链接链接已复制到粘贴板!

2.2.2.4. 实例删除复制链接链接已复制到粘贴板!

2.2.3. 执行管理(systemctl)复制链接链接已复制到粘贴板!

2.2.3.1. 启动、停止、重启和获取状态复制链接链接已复制到粘贴板!

2.2.3.2. 自动启动实例复制链接链接已复制到粘贴板!

2.2.4. 进程管理(pki-server 和 pkidaemon)复制链接链接已复制到粘贴板!

2.2.4.1. pki-server 命令行工具复制链接链接已复制到粘贴板!

2.2.4.2. 使用 pki-server启用和禁用已安装的子系统复制链接链接已复制到粘贴板!

2.2.4.3. pkidaemon 命令行工具复制链接链接已复制到粘贴板!

2.2.4.4. 查找子系统 Web 服务 URL复制链接链接已复制到粘贴板!

2.2.4.5. 启动证书系统控制台复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

2.2.1. 与共享实例分开
复制链接

2.2.2. 实例安装先决条件
复制链接

2.2.2.1. 目录服务器实例可用性
复制链接

2.2.2.2. PKI 软件包
复制链接

2.2.2.3. 实例安装和配置
复制链接

2.2.2.4. 实例删除
复制链接

2.2.3. 执行管理(systemctl)
复制链接

2.2.3.1. 启动、停止、重启和获取状态
复制链接

2.2.3.2. 自动启动实例
复制链接

2.2.4. 进程管理(pki-server 和 pkidaemon)
复制链接

2.2.4.1. pki-server 命令行工具
复制链接

2.2.4.2. 使用 pki-server启用和禁用已安装的子系统
复制链接

2.2.4.3. pkidaemon 命令行工具
复制链接

2.2.4.4. 查找子系统 Web 服务 URL
复制链接

2.2.4.5. 启动证书系统控制台
复制链接