2.2. 证书系统子系统概述
2.2.2. 实例安装先决条件 复制链接链接已复制到粘贴板!
2.2.2.1. 目录服务器实例可用性 复制链接链接已复制到粘贴板!
在安装证书系统实例前,必须有一个本地或远程 Red Hat Directory Server LDAP 实例。有关安装红帽目录服务器的说明,请参阅 红帽目录服务器安装指南。
2.2.2.2. PKI 软件包 复制链接链接已复制到粘贴板!
Red Hat Certificate System 由以下列出的软件包组成:
以下基本软件包形成了证书系统的核心,并可用于基本 Red Hat Enterprise Linux 软件仓库:
pki-core
- pki-base
- pki-base-java
- pki-ca
- pki-javadoc
- pki-kra
- pki-server
- pki-symkey
- pki-tools
以下列出的软件包在基本 Red Hat Enterprise Linux 订阅频道 中不可用。要安装这些软件包,您必须附加一个 Red Hat Certificate System 订阅池并启用 RHCS 存储库。如需更多信息,请参阅 第 6.2 节 “启用软件仓库”。
pki-core
- pki-console
- pki-ocsp
- pki-tks
- pki-tps
redhat-pki
- redhat-pki: 包含 pki-core 模块的所有软件包。如果要单独选择 redhat-pki 软件包,建议禁用 pki-core 模块。
- redhat-pki-console-theme
- redhat-pki-server-theme
使用 Red Hat Enterprise Linux 8 系统(可选,使用 中列出的受支持硬件安全模块配置了一个硬件安全模块),并在安装 Red Hat Certificate System 前确保所有软件包都为最新版本。
要安装所有证书系统软件包( pki-javadoc除外),请使用 dnf
安装 redhat-pki metapackage:
dnf install redhat-pki
# dnf install redhat-pki
或者,您可以根据需要安装一个或多个顶级 PKI 子系统软件包;有关确切的软件包名称,请参阅上面的列表。如果使用此方法,请确保还要安装 redhat-pki-server-theme 软件包,以及可选的 redhat-pki-console-theme 和 pki-console 以使用 PKI 控制台。
最后,开发人员和管理员可能还想安装 JSS 和 PKI javadoc ( jss-javadoc 和 pki-javadoc)。
jss-javadoc 软件包要求您在 Subscription Manager
中启用 Server-Optional 存储库。
2.2.2.3. 实例安装和配置 复制链接链接已复制到粘贴板!
pkispawn
命令行工具用于安装和配置新的 PKI 实例。它消除了对单独安装和配置步骤的需求,可以作为批处理进程或两者的组合运行(带有密码提示的batch 进程)。该工具不提供安装或配置基于浏览器的图形界面的方法。
如需用法信息,请使用 pkispawn --help
命令。
pkispawn
命令:
-
从纯文本配置文件(
/etc/pki/default.cfg
)中读取其默认name=value
对。 - 以交互方式或自动覆盖任何对,并以 Python 字典的形式存储最终结果。
- 执行有序的 Scriptlets 来执行 子系统和实例安装。
- 配置脚本将 Python 字典打包为 JavaScript 对象表示法(JSON)数据对象,然后传递给基于 Java 的配置 servlet。
-
配置 servlet 使用这个数据来配置新的 PKI 子系统,然后将控制传递给
pkispawn
可执行文件,后者可完成 PKI 设置。最终部署文件的副本存储在/var/lib/pki/instance_name/<subsystem>/registry/<subsystem>/deployment.cfg
中
详情请查看 pkispawn
手册页。
默认配置文件 /etc/pki/default.cfg
是包含默认安装和配置值的纯文本文件,这些值在上述过程开始时读取。它由 name=value
对组成,[DEFAULT]
, [Tomcat]
, [CA]
, [KRA]
, [OCSP]
, [TKS]
, 和 [TPS]
部分。
如果您将 use -s 选项与 pkispawn
一起使用并指定子系统名称,则只有该子系统的部分会被读取。
这些部分有一个层次结构:一个在 subsystem 部分中指定的 name=value
对将覆盖 [Tomcat]
部分中的对,后者又覆盖 [DEFAULT]
部分中的对。可以通过交互式输入,或通过指定 PKI 实例配置文件中对来进一步覆盖默认对。
每当使用非交互式文件覆盖默认 name=value
对时,它们可能会存储在任意位置,并随时指定。这些文件在 pkispawn
man page 中称为 myconfig.txt
,但它们通常也称为 .ini
文件,或者更常见的是 PKI 实例配置覆盖文件。
如需更多信息,请参阅 pki_default.cfg
手册页。
配置 Servlet 由存储在 /usr/share/java/pki/pki-certsrv.jar
中的 Java 字节码组成,作为 com/netscape/certsrv/system/ConfigurationRequest.class
。servlet 使用 pkispawn
来处理作为 JSON 对象传递的数据,然后使用与 com/netscape/certsrv/system/ConfigurationResponse.class
相同的文件中提供的 Java 字节码返回 pkispawn
。
交互式安装示例仅涉及以 root
用户身份在命令行上运行 pkispawn
命令:
pkispawn
# pkispawn
目前只有非常基本的部署存在交互式安装。例如,使用克隆、Eliptic Curve Cryptography (ECC)、外部 CA、硬件安全模块(HSM)、从属 CA 等高级功能的部署必须在单独的配置文件中提供必要的覆盖参数。
非交互式安装需要 PKI 实例配置覆盖文件,进程可能类似以下示例:
创建
pki
目录:mkdir -p /root/pki
# mkdir -p /root/pki
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用文本编辑器,如
vim
,使用以下内容创建名为/root/pki/ca.cfg
的配置文件:[DEFAULT] pki_admin_password=<password> pki_client_pkcs12_password=<password> pki_ds_password=<password>
[DEFAULT] pki_admin_password=<password> pki_client_pkcs12_password=<password> pki_ds_password=<password>
Copy to Clipboard Copied! Toggle word wrap Toggle overflow pkispawn -s CA -f /root/pki/ca.cfg
# pkispawn -s CA -f /root/pki/ca.cfg
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
有关各种配置示例,请参阅 pkispawn
手册页。
2.2.2.4. 实例删除 复制链接链接已复制到粘贴板!
要删除现有的 PKI 实例,请使用 pkidestroy
命令。它可以以交互方式运行,也可以作为批处理进程运行。使用 pkidestroy -h
在命令行中显示详细的使用信息。
pkidestroy
命令在 PKI 子系统部署配置文件中读取,该文件在创建子系统时存储(/var/lib/pki/instance_name/ <subsystem>/registry/<subsystem> /deployment.cfg
),使用 read-in 文件来删除 PKI 子系统,如果它不包含额外的子系统,则删除 PKI 实例。如需更多信息,请参阅 pkidestroy
手册页。
使用 pkidestroy
进行交互式删除过程可能类似如下:
非互动删除过程可能类似以下示例:
2.2.3. 执行管理(systemctl) 复制链接链接已复制到粘贴板!
2.2.3.1. 启动、停止、重启和获取状态 复制链接链接已复制到粘贴板!
Red Hat Certificate System 子系统实例可以使用 Red Hat Enterprise Linux 8 上的 systemctl
执行管理系统工具停止并启动:
systemctl start <unit-file>@instance_name.service
# systemctl start <unit-file>@instance_name.service
systemctl status <unit-file>@instance_name.service
# systemctl status <unit-file>@instance_name.service
systemctl stop <unit-file>@instance_name.service
# systemctl stop <unit-file>@instance_name.service
systemctl restart <unit-file>@instance_name.service
# systemctl restart <unit-file>@instance_name.service
<unit-file> 具有以下值之一:
pki-tomcatd With watchdog disabled pki-tomcatd-nuxwdog With watchdog enabled
pki-tomcatd With watchdog disabled
pki-tomcatd-nuxwdog With watchdog enabled
有关 watchdog
服务的详情,请参考 第 2.3.10 节 “密码和 watchdog (nuxwdog)” 和 第 9.3.2 节 “使用证书系统 watchdog 服务”。
在 RHCS 10 中,这些 systemctl
操作支持 pki-server
别名: pki-server <command> subsystem_instance_name
是 systemctl <command> pki-tomcatd@<instance>.service
的别名。
2.2.3.2. 自动启动实例 复制链接链接已复制到粘贴板!
Red Hat Enterprise Linux 中的 systemctl
工具管理服务器上每个进程的自动启动和关闭设置。这意味着,当系统重启时,可以自动重启某些服务。系统单元文件控制服务启动,以确保以正确顺序启动服务。systemd
服务和 systemctl
工具在 Red Hat Enterprise Linux 8 的配置基本系统设置指南中进行了描述。
证书系统实例可由 systemctl
管理,因此此实用程序可以设置是否自动重启实例。创建证书系统实例后,它会在引导时启用它。这可以通过使用 systemctl
进行修改:
systemctl disable pki-tomcatd@instance_name.service
# systemctl disable pki-tomcatd@instance_name.service
重新启用实例:
systemctl enable pki-tomcatd@instance_name.service
# systemctl enable pki-tomcatd@instance_name.service
systemctl enable
和 systemctl disable
命令不会立即启动或停止证书系统。
2.2.4. 进程管理(pki-server 和 pkidaemon) 复制链接链接已复制到粘贴板!
2.2.4.1. pki-server 命令行工具 复制链接链接已复制到粘贴板!
Red Hat Certificate System 的主要进程管理工具是 pki-server
。使用 pki-server --help
命令,并查看 pki-server
手册页。
pki-server
命令行界面(CLI)管理本地服务器实例(如服务器配置或系统证书)。按如下方式调用 CLI:
pki-server [CLI options] <command> [command parameters]
$ pki-server [CLI options] <command> [command parameters]
CLI 使用服务器实例的配置文件和 NSS 数据库,因此 CLI 不需要任何之前的初始化。由于 CLI 直接访问文件,因此只能由 root 用户执行,而且不需要客户端证书。此外,无论服务器的状态如何,CLI 可以运行;它不需要正在运行的服务器。
CLI 支持以分级结构组织的多个命令。要列出顶层命令,请在没有任何额外命令或参数的情况下执行 CLI:
pki-server
$ pki-server
有些命令有子命令。要列出它们,可使用命令名称执行 CLI,且没有其他选项。例如:
pki-server ca
$ pki-server ca
pki-server ca-audit
$ pki-server ca-audit
要查看命令用法信息,请使用 the -help 选项:
pki-server --help
$ pki-server --help
pki-server ca-audit-event-find --help
$ pki-server ca-audit-event-find --help
2.2.4.2. 使用 pki-server启用和禁用已安装的子系统 复制链接链接已复制到粘贴板!
要启用或禁用已安装的子系统,请使用 pki-server
工具。
pki-server subsystem-disable -i instance_id subsystem_id
# pki-server subsystem-disable -i instance_id subsystem_id
pki-server subsystem-enable -i instance_id subsystem_id
# pki-server subsystem-enable -i instance_id subsystem_id
使用有效的子系统标识符替换 subsystem_id : ca
、kra
、tks
、ocsp
或 tps
。
一个实例只能有一个类型的子系统。
例如,要在名为 pki-tomcat
的实例上禁用 OCSP 子系统:
pki-server subsystem-disable -i pki-tomcat ocsp
# pki-server subsystem-disable -i pki-tomcat ocsp
列出实例安装的子系统:
pki-server subsystem-find -i instance_id
# pki-server subsystem-find -i instance_id
显示特定子系统的状态:
pki-server subsystem-find -i instance_id subsystem_id
# pki-server subsystem-find -i instance_id subsystem_id
2.2.4.3. pkidaemon 命令行工具 复制链接链接已复制到粘贴板!
Red Hat Certificate System 的另一个进程管理工具是 pkidaemon
工具:
pkidaemon {start|status} instance-type [instance_name]
# pkidaemon {start|status} instance-type [instance_name]
-
pkidaemon status tomcat
- 提供状态信息,如 on/off、port、系统上所有 PKI 实例的每个 PKI 子系统的 URL。 -
pkidaemon status tomcat instance_name
- 提供状态信息,如 on/off、port、特定实例的每个 PKI 子系统的 URL。 -
pkidaemon 使用
- Used。systemctl
启动 tomcat instance_name.service
详情请查看 pkidaemon
手册页。
2.2.4.4. 查找子系统 Web 服务 URL 复制链接链接已复制到粘贴板!
CA、KRA、OCSP、TKS 和 TPS 子系统有可用于代理的网页,以及常规用户和管理员。可以通过打开子系统的安全最终用户端口到子系统主机的 URL 来访问这些 Web 服务。例如,对于 CA:
https://server.example.com:8443/ca/services
https://server.example.com:8443/ca/services
要获取实例的所有接口、URL 和端口的完整列表,请检查该服务的状态。例如:
pkidaemon status instance_name
pkidaemon status instance_name
每个子系统的主要 Web 服务页面包含可用服务页面列表;下表中概述了这些页面。要专门访问任何服务,请访问适当的端口,并将适当的目录附加到 URL。例如,要访问 CA 的最终实体(普通用户)Web 服务:
https://server.example.com:8443/ca/ee/ca
https://server.example.com:8443/ca/ee/ca
如果没有配置 DNS,则可以使用 IPv4 或 IPv6 地址连接到服务页面。例如:
https://192.0.2.1:8443/ca/services https://[2001:DB8::1111]:8443/ca/services
https://192.0.2.1:8443/ca/services
https://[2001:DB8::1111]:8443/ca/services
任何人都可以访问子系统的最终用户页面。但是,访问代理或管理员网页要求在网页浏览器中发布并安装代理或管理员证书。否则,对 Web 服务的身份验证会失败。
端口 | 用于 SSL/TLS | 用于客户端身份验证 [a] | Web Services | Web 服务位置 |
---|---|---|---|---|
证书管理器 | ||||
8080 | 否 | 结束实体 | ca/ee/ca | |
8443 | 是 | 否 | 结束实体 | ca/ee/ca |
8443 | 是 | 是 | 代理 | ca/agent/ca |
8443 | 是 | 否 | 服务 | ca/services |
8443 | 是 | 否 | 控制台(Console) | pkiconsole https://host:port/ca |
密钥恢复授权机构 | ||||
8080 | 否 | 结束实体 | kra/ee/kra | |
8443 | 是 | 否 | 结束实体 | kra/ee/kra |
8443 | 是 | 是 | 代理 | kra/agent/kra |
8443 | 是 | 否 | 服务 | kra/services |
8443 | 是 | 否 | 控制台(Console) | pkiconsole https://host:port/kra |
在线证书状态管理器 | ||||
8080 | 否 | 结束实体 | ocsp/ee/ocsp | |
8443 | 是 | 否 | 结束实体 | ocsp/ee/ocsp |
8443 | 是 | 是 | 代理 | ocsp/agent/ocsp |
8443 | 是 | 否 | 服务 | ocsp/services |
8443 | 是 | 否 | 控制台(Console) | pkiconsole https://host:port/ocsp |
令牌密钥服务 | ||||
8080 | 否 | 结束实体 | tks/ee/tks | |
8443 | 是 | 否 | 结束实体 | tks/ee/tks |
8443 | 是 | 是 | 代理 | tks/agent/tks |
8443 | 是 | 否 | 服务 | tks/services |
8443 | 是 | 否 | 控制台(Console) | pkiconsole https://host:port/tks |
令牌处理系统 | ||||
8080 | 否 | 非安全的服务 | tps/tps | |
8443 | 是 | 保护服务 | tps/tps | |
8080 | 否 | 企业安全客户端关联主页 | tps/phoneHome | |
8443 | 是 | 企业安全客户端关联主页 | tps/phoneHome | |
8443 | 是 | 是 | admin, Agent, 和 Operator Services [b] | tps/ui |
[a]
客户端身份验证值 No 的服务可以被重新配置为需要客户端身份验证。没有 Yes 或 No 值的服务无法配置为使用客户端身份验证。
[b]
代理、管理员和操作员服务都通过相同的 Web 服务页面访问。每个角色只能访问仅对该角色成员可见的特定部分。
|
2.2.4.5. 启动证书系统控制台 复制链接链接已复制到粘贴板!
此控制台已弃用。
CA、KRA、OCSP 和 TKS 子系统有一个 Java 接口,可用于执行管理功能。对于 KRA、OCSP 和 TKS,这包括配置日志记录和管理用户和组等非常基本的任务。对于 CA,这包括其他配置设置,如创建证书配置文件和配置发布。
控制台通过 pkiconsole
工具通过 SSL/TLS 端口连接到子系统实例来打开。这个工具使用格式:
pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:admin_port/subsystem_type
# pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:admin_port/subsystem_type
subsystem_type 可以是 ca
、kra
、ocsp
或 tks
。例如,这会打开 KRA 控制台:
pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/kra
# pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/kra
如果没有配置 DNS,则可以使用 IPv4 或 IPv6 地址连接到控制台。例如:
https://192.0.2.1:8443/ca https://[2001:DB8::1111]:8443/ca
https://192.0.2.1:8443/ca
https://[2001:DB8::1111]:8443/ca