2.2. 证书系统子系统概述


2.2.1. 与共享实例分开

Red Hat Certificate System 支持为所有子系统部署单独的 PKI 实例:

  • 单独的 PKI 实例作为基于 Java 的 Apache Tomcat 实例运行。
  • 单独的 PKI 实例包含一个 PKI 子系统(CA、KRA、TKS、TKS 或 TPS)。
  • 如果位于同一物理虚拟机或虚拟机(VM)上在一起,则单独的 PKI 实例必须使用唯一的端口。

或者,证书系统支持部署共享 PKI 实例:

  • 共享 PKI 实例也作为单一基于 Java 的 Apache Tomcat 实例运行。
  • 包含单个 PKI 子系统的共享 PKI 实例与单独的 PKI 实例相同。
  • 共享 PKI 实例可能包含最多一种 PKI 子系统的任意组合:

    • 仅限 CA
    • 仅限 TKS
    • CA 和 KRA
    • CA 和 OCSP
    • TKS 和 TPS
    • CA、KRA、TKS 和 TPS
    • ca, KRA, OCSP, TKS, 和 TPS
    • etc.
  • 共享 PKI 实例允许该实例中包含的所有子系统共享相同的端口。
  • 如果多个端口位于同一物理机或虚拟机上,则共享 PKI 实例必须使用唯一的端口。

2.2.2. 实例安装先决条件

2.2.2.1. 目录服务器实例可用性

在安装证书系统实例前,必须有一个本地或远程 Red Hat Directory Server LDAP 实例。有关安装红帽目录服务器的说明,请参阅 红帽目录服务器安装指南

2.2.2.2. PKI 软件包

Red Hat Certificate System 由以下列出的软件包组成:

  • 以下基本软件包形成了证书系统的核心,并可用于基本 Red Hat Enterprise Linux 软件仓库:

    • pki-core

      • pki-base
      • pki-base-java
      • pki-ca
      • pki-javadoc
      • pki-kra
      • pki-server
      • pki-symkey
      • pki-tools
  • 以下列出的软件包在基本 Red Hat Enterprise Linux 订阅频道 中不可用。要安装这些软件包,您必须附加一个 Red Hat Certificate System 订阅池并启用 RHCS 存储库。如需更多信息,请参阅 第 6.2 节 “启用软件仓库”

    • pki-core

      • pki-console
      • pki-ocsp
      • pki-tks
      • pki-tps
    • redhat-pki

      • redhat-pki: 包含 pki-core 模块的所有软件包。如果要单独选择 redhat-pki 软件包,建议禁用 pki-core 模块。
      • redhat-pki-console-theme
      • redhat-pki-server-theme

使用 Red Hat Enterprise Linux 8 系统(可选,使用 中列出的受支持硬件安全模块配置了一个硬件安全模块),并在安装 Red Hat Certificate System 前确保所有软件包都为最新版本。

要安装所有证书系统软件包( pki-javadoc除外),请使用 dnf 安装 redhat-pki metapackage:

# dnf install redhat-pki
Copy to Clipboard Toggle word wrap

或者,您可以根据需要安装一个或多个顶级 PKI 子系统软件包;有关确切的软件包名称,请参阅上面的列表。如果使用此方法,请确保还要安装 redhat-pki-server-theme 软件包,以及可选的 redhat-pki-console-themepki-console 以使用 PKI 控制台。

最后,开发人员和管理员可能还想安装 JSS 和 PKI javadoc ( jss-javadocpki-javadoc)。

注意

jss-javadoc 软件包要求您在 Subscription Manager 中启用 Server-Optional 存储库。

2.2.2.3. 实例安装和配置

pkispawn 命令行工具用于安装和配置新的 PKI 实例。它消除了对单独安装和配置步骤的需求,可以作为批处理进程或两者的组合运行(带有密码提示的batch 进程)。该工具不提供安装或配置基于浏览器的图形界面的方法。

如需用法信息,请使用 pkispawn --help 命令。

pkispawn 命令:

  1. 从纯文本配置文件(/etc/pki/default.cfg)中读取其默认 name=value 对。
  2. 以交互方式或自动覆盖任何对,并以 Python 字典的形式存储最终结果。
  3. 执行有序的 Scriptlets 来执行 子系统和实例安装。
  4. 配置脚本将 Python 字典打包为 JavaScript 对象表示法(JSON)数据对象,然后传递给基于 Java 的配置 servlet。
  5. 配置 servlet 使用这个数据来配置新的 PKI 子系统,然后将控制传递给 pkispawn 可执行文件,后者可完成 PKI 设置。最终部署文件的副本存储在 /var/lib/pki/instance_name/<subsystem>/registry/<subsystem>/deployment.cfg

详情请查看 pkispawn 手册页。

默认配置文件 /etc/pki/default.cfg 是包含默认安装和配置值的纯文本文件,这些值在上述过程开始时读取。它由 name=value 对组成,[DEFAULT], [Tomcat], [CA], [KRA], [OCSP], [TKS], 和 [TPS] 部分。

如果您将 use -s 选项与 pkispawn 一起使用并指定子系统名称,则只有该子系统的部分会被读取。

这些部分有一个层次结构:一个在 subsystem 部分中指定的 name=value 对将覆盖 [Tomcat] 部分中的对,后者又覆盖 [DEFAULT] 部分中的对。可以通过交互式输入,或通过指定 PKI 实例配置文件中对来进一步覆盖默认对。

注意

每当使用非交互式文件覆盖默认 name=value 对时,它们可能会存储在任意位置,并随时指定。这些文件在 pkispawn man page 中称为 myconfig.txt,但它们通常也称为 .ini 文件,或者更常见的是 PKI 实例配置覆盖文件。

如需更多信息,请参阅 pki_default.cfg 手册页。

配置 Servlet 由存储在 /usr/share/java/pki/pki-certsrv.jar 中的 Java 字节码组成,作为 com/netscape/certsrv/system/ConfigurationRequest.class。servlet 使用 pkispawn 来处理作为 JSON 对象传递的数据,然后使用与 com/netscape/certsrv/system/ConfigurationResponse.class 相同的文件中提供的 Java 字节码返回 pkispawn

交互式安装示例仅涉及以 root 用户身份在命令行上运行 pkispawn 命令:

# pkispawn
Copy to Clipboard Toggle word wrap
重要

目前只有非常基本的部署存在交互式安装。例如,使用克隆、Eliptic Curve Cryptography (ECC)、外部 CA、硬件安全模块(HSM)、从属 CA 等高级功能的部署必须在单独的配置文件中提供必要的覆盖参数。

非交互式安装需要 PKI 实例配置覆盖文件,进程可能类似以下示例:

  1. 创建 pki 目录:

    # mkdir -p /root/pki
    Copy to Clipboard Toggle word wrap
  2. 使用文本编辑器,如 vim,使用以下内容创建名为 /root/pki/ca.cfg 的配置文件:

    [DEFAULT]
    pki_admin_password=<password>
    pki_client_pkcs12_password=<password>
    pki_ds_password=<password>
    Copy to Clipboard Toggle word wrap
  3. # pkispawn -s CA -f /root/pki/ca.cfg
    Copy to Clipboard Toggle word wrap

有关各种配置示例,请参阅 pkispawn 手册页。

2.2.2.4. 实例删除

要删除现有的 PKI 实例,请使用 pkidestroy 命令。它可以以交互方式运行,也可以作为批处理进程运行。使用 pkidestroy -h 在命令行中显示详细的使用信息。

pkidestroy 命令在 PKI 子系统部署配置文件中读取,该文件在创建子系统时存储(/var/lib/pki/instance_name/ <subsystem&gt;/registry/<subsystem> /deployment.cfg),使用 read-in 文件来删除 PKI 子系统,如果它不包含额外的子系统,则删除 PKI 实例。如需更多信息,请参阅 pkidestroy 手册页。

使用 pkidestroy 进行交互式删除过程可能类似如下:

# pkidestroy

Subsystem (CA/KRA/OCSP/TKS/TPS) [CA]:
Instance [pki-tomcat]:

Begin uninstallation (Yes/No/Quit)? Yes

Log file: /var/log/pki/pki-ca-destroy.20150928183547.log
Loading deployment configuration from /var/lib/pki/pki-tomcat/ca/registry/ca/deployment.cfg.
Uninstalling CA from /var/lib/pki/pki-tomcat.
rm '/etc/systemd/system/multi-user.target.wants/pki-tomcatd.target'

Uninstallation complete.
Copy to Clipboard Toggle word wrap

非互动删除过程可能类似以下示例:

# pkidestroy -s CA -i pki-tomcat

Log file: /var/log/pki/pki-ca-destroy.20150928183159.log
Loading deployment configuration from /var/lib/pki/pki-tomcat/ca/registry/ca/deployment.cfg.
Uninstalling CA from /var/lib/pki/pki-tomcat.
rm '/etc/systemd/system/multi-user.target.wants/pki-tomcatd.target'

Uninstallation complete.
Copy to Clipboard Toggle word wrap

2.2.3. 执行管理(systemctl)

2.2.3.1. 启动、停止、重启和获取状态

Red Hat Certificate System 子系统实例可以使用 Red Hat Enterprise Linux 8 上的 systemctl 执行管理系统工具停止并启动:

# systemctl start <unit-file>@instance_name.service
Copy to Clipboard Toggle word wrap
# systemctl status <unit-file>@instance_name.service
Copy to Clipboard Toggle word wrap
# systemctl stop <unit-file>@instance_name.service
Copy to Clipboard Toggle word wrap
# systemctl restart <unit-file>@instance_name.service
Copy to Clipboard Toggle word wrap

<unit-file> 具有以下值之一:

pki-tomcatd 			With watchdog disabled
pki-tomcatd-nuxwdog 		With watchdog enabled
Copy to Clipboard Toggle word wrap

有关 watchdog 服务的详情,请参考 第 2.3.10 节 “密码和 watchdog (nuxwdog)”第 9.3.2 节 “使用证书系统 watchdog 服务”

注意

在 RHCS 10 中,这些 systemctl 操作支持 pki-server 别名: pki-server <command> subsystem_instance_namesystemctl <command> pki-tomcatd@<instance>.service 的别名。

2.2.3.2. 自动启动实例

Red Hat Enterprise Linux 中的 systemctl 工具管理服务器上每个进程的自动启动和关闭设置。这意味着,当系统重启时,可以自动重启某些服务。系统单元文件控制服务启动,以确保以正确顺序启动服务。systemd 服务和 systemctl 工具在 Red Hat Enterprise Linux 8 的配置基本系统设置指南中进行了描述。

证书系统实例可由 systemctl 管理,因此此实用程序可以设置是否自动重启实例。创建证书系统实例后,它会在引导时启用它。这可以通过使用 systemctl 进行修改:

# systemctl disable pki-tomcatd@instance_name.service
Copy to Clipboard Toggle word wrap

重新启用实例:

# systemctl enable pki-tomcatd@instance_name.service
Copy to Clipboard Toggle word wrap
注意

systemctl enablesystemctl disable 命令不会立即启动或停止证书系统。

2.2.4. 进程管理(pki-server 和 pkidaemon)

2.2.4.1. pki-server 命令行工具

Red Hat Certificate System 的主要进程管理工具是 pki-server。使用 pki-server --help 命令,并查看 pki-server 手册页。

pki-server 命令行界面(CLI)管理本地服务器实例(如服务器配置或系统证书)。按如下方式调用 CLI:

$ pki-server [CLI options] <command> [command parameters]
Copy to Clipboard Toggle word wrap

CLI 使用服务器实例的配置文件和 NSS 数据库,因此 CLI 不需要任何之前的初始化。由于 CLI 直接访问文件,因此只能由 root 用户执行,而且不需要客户端证书。此外,无论服务器的状态如何,CLI 可以运行;它不需要正在运行的服务器。

CLI 支持以分级结构组织的多个命令。要列出顶层命令,请在没有任何额外命令或参数的情况下执行 CLI:

$ pki-server
Copy to Clipboard Toggle word wrap

有些命令有子命令。要列出它们,可使用命令名称执行 CLI,且没有其他选项。例如:

$ pki-server ca
Copy to Clipboard Toggle word wrap
$ pki-server ca-audit
Copy to Clipboard Toggle word wrap

要查看命令用法信息,请使用 the -help 选项:

$ pki-server --help
Copy to Clipboard Toggle word wrap
$ pki-server ca-audit-event-find --help
Copy to Clipboard Toggle word wrap

要启用或禁用已安装的子系统,请使用 pki-server 工具。

# pki-server subsystem-disable -i instance_id subsystem_id
Copy to Clipboard Toggle word wrap
# pki-server subsystem-enable -i instance_id subsystem_id
Copy to Clipboard Toggle word wrap

使用有效的子系统标识符替换 subsystem_idcakratksocsptps

注意

一个实例只能有一个类型的子系统。

例如,要在名为 pki-tomcat 的实例上禁用 OCSP 子系统:

# pki-server subsystem-disable -i pki-tomcat ocsp
Copy to Clipboard Toggle word wrap

列出实例安装的子系统:

# pki-server subsystem-find -i instance_id
Copy to Clipboard Toggle word wrap

显示特定子系统的状态:

# pki-server subsystem-find -i instance_id subsystem_id
Copy to Clipboard Toggle word wrap

2.2.4.3. pkidaemon 命令行工具

Red Hat Certificate System 的另一个进程管理工具是 pkidaemon 工具:

# pkidaemon {start|status} instance-type [instance_name]
Copy to Clipboard Toggle word wrap
  • pkidaemon status tomcat - 提供状态信息,如 on/off、port、系统上所有 PKI 实例的每个 PKI 子系统的 URL。
  • pkidaemon status tomcat instance_name - 提供状态信息,如 on/off、port、特定实例的每个 PKI 子系统的 URL。
  • pkidaemon 使用 systemctl 启动 tomcat instance_name.service - Used。

详情请查看 pkidaemon 手册页。

2.2.4.4. 查找子系统 Web 服务 URL

CA、KRA、OCSP、TKS 和 TPS 子系统有可用于代理的网页,以及常规用户和管理员。可以通过打开子系统的安全最终用户端口到子系统主机的 URL 来访问这些 Web 服务。例如,对于 CA:

https://server.example.com:8443/ca/services
Copy to Clipboard Toggle word wrap
注意

要获取实例的所有接口、URL 和端口的完整列表,请检查该服务的状态。例如:

pkidaemon status instance_name
Copy to Clipboard Toggle word wrap

每个子系统的主要 Web 服务页面包含可用服务页面列表;下表中概述了这些页面。要专门访问任何服务,请访问适当的端口,并将适当的目录附加到 URL。例如,要访问 CA 的最终实体(普通用户)Web 服务:

https://server.example.com:8443/ca/ee/ca
Copy to Clipboard Toggle word wrap

如果没有配置 DNS,则可以使用 IPv4 或 IPv6 地址连接到服务页面。例如:

https://192.0.2.1:8443/ca/services
https://[2001:DB8::1111]:8443/ca/services
Copy to Clipboard Toggle word wrap
注意

任何人都可以访问子系统的最终用户页面。但是,访问代理或管理员网页要求在网页浏览器中发布并安装代理或管理员证书。否则,对 Web 服务的身份验证会失败。

Expand
表 2.1. 默认 Web 服务页面
端口用于 SSL/TLS用于客户端身份验证 [a]Web ServicesWeb 服务位置

证书管理器

8080

 

结束实体

ca/ee/ca

8443

结束实体

ca/ee/ca

8443

代理

ca/agent/ca

8443

服务

ca/services

8443

控制台(Console)

pkiconsole https://host:port/ca

密钥恢复授权机构

8080

 

结束实体

kra/ee/kra

8443

结束实体

kra/ee/kra

8443

代理

kra/agent/kra

8443

服务

kra/services

8443

控制台(Console)

pkiconsole https://host:port/kra

在线证书状态管理器

8080

 

结束实体

ocsp/ee/ocsp

8443

结束实体

ocsp/ee/ocsp

8443

代理

ocsp/agent/ocsp

8443

服务

ocsp/services

8443

控制台(Console)

pkiconsole https://host:port/ocsp

令牌密钥服务

8080

 

结束实体

tks/ee/tks

8443

结束实体

tks/ee/tks

8443

代理

tks/agent/tks

8443

服务

tks/services

8443

控制台(Console)

pkiconsole https://host:port/tks

令牌处理系统

8080

 

非安全的服务

tps/tps

8443

 

保护服务

tps/tps

8080

 

企业安全客户端关联主页

tps/phoneHome

8443

 

企业安全客户端关联主页

tps/phoneHome

8443

admin, Agent, 和 Operator Services [b]

tps/ui

[a] 客户端身份验证值 No 的服务可以被重新配置为需要客户端身份验证。没有 Yes 或 No 值的服务无法配置为使用客户端身份验证。
[b] 代理、管理员和操作员服务都通过相同的 Web 服务页面访问。每个角色只能访问仅对该角色成员可见的特定部分。

2.2.4.5. 启动证书系统控制台

重要

此控制台已弃用。

CA、KRA、OCSP 和 TKS 子系统有一个 Java 接口,可用于执行管理功能。对于 KRA、OCSP 和 TKS,这包括配置日志记录和管理用户和组等非常基本的任务。对于 CA,这包括其他配置设置,如创建证书配置文件和配置发布。

控制台通过 pkiconsole 工具通过 SSL/TLS 端口连接到子系统实例来打开。这个工具使用格式:

# pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:admin_port/subsystem_type
Copy to Clipboard Toggle word wrap

subsystem_type 可以是 cakraocsptks。例如,这会打开 KRA 控制台:

# pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/kra
Copy to Clipboard Toggle word wrap

如果没有配置 DNS,则可以使用 IPv4 或 IPv6 地址连接到控制台。例如:

https://192.0.2.1:8443/ca
https://[2001:DB8::1111]:8443/ca
Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat