第 5 章 Red Hat Enterprise Linux 8.3 上的 Red Hat Certificate System 10.1
这部分论述了 RHEL 8.3 上 Red Hat Certificate System 10.1 的显著变化,如突出显示的更新和新功能、重要的程序错误修复以及用户应该了解的当前已知问题。
不支持将 Red Hat Certificate System 降级到以前的次版本。
5.1. CS 10.1 中的更新和新功能
本节记录了 Red Hat Certificate System 10.1 中的新功能和重要更新:
证书系统软件包 rebase 到版本 10.9.0
pki-core、redhat-pki、redhat-pki-theme 和 pki-console 软件包已升级到上游版本 10.9.0,它提供了很多程序错误修复和增强。
JSS 现在提供 FIPS 兼容 SSLContext
之前,Tomcat 使用来自 Java 加密架构(JCA)SSLContext 类的 SSLEngine 指令。默认的 SunJSSE 实现不符合联邦信息处理标准(FIPS),因此 PKI 现在通过 JSS 提供符合 FIPS 的实现。
Server-Side keygen Enrollment
许多较新版本的浏览器删除了为密钥归档生成 PKI 密钥和 CRMF 支持的功能。为了解决这一问题,Red Hat Certificate System 10.1 引入了 Server-Side Keygen 注册机制:密钥会在 KRA 服务器上生成,然后安全地传输至 PKCS the 中的客户端。
强烈建议您仅将服务器端密钥机制用于加密密钥。
功能高可用性:
- 证书请求密钥在 KRA 上生成(注意:必须安装 KRA 才能使用 CA)
-
配置集默认插件 serverKeygenUserKeyDefaultImpl 提供了启用或禁用密钥归档的选择(例如,
enableArchival) - 支持 RSA 和 EC 密钥
- 支持手动(代理)批准和自动批准(例如,基于密码的目录)
带有嵌入式签名证书时间戳的 CA 证书转换
Red Hat Certificate System 现在提供证书转换(CT) V1 支持(rfc 6962)的基本版本。它具有从任何可信日志发布带有嵌入式证书时间戳(SCT)的证书,每个部署站点选择包含其 root CA 证书。系统可以配置为支持多个 CT 日志。要使这个功能正常工作,至少需要一个可信的 CT 日志。
部署站点负责建立与可信 CT 日志服务器的信任关系。
更新 pki-core 软件包中的新功能:
现在可以使用检查您的公钥基础架构的整体健康状况
pki-healthcheck 工具提供了几个检查,可帮助您查找和报告可能影响公钥基础架构(PKI)环境的健康状态的错误条件。
PKI 现在支持 RSA PSS (Probabilistic Signature Scheme)签名算法
在这个版本中,PKI 支持 RSA PSS(安全签名方案)签名算法。要启用此功能,请在 pkispawn 脚本文件中为给定子系统设置以下行: pki_use_pss_rsa_signing_algorithm=True
