5.4. CS 10.1 中已知的问题
这部分论述了用户在 Red Hat Certificate System 10.1 中应该了解的已知问题,如果适用,临时解决方案。
TPS 需要添加匿名绑定 ACI 访问
在以前的版本中,默认允许匿名绑定 ACI,但现在在 LDAP 中被禁用。因此,这可以防止注册或格式化 TPS 智能卡。
要临时解决这个问题,直到修复前,您需要在目录服务器中添加匿名绑定 ACI:
$ ldapmodify -D "cn=Directory Manager" -W -x -p 3389 -h hostname -x <<EOF
dn: dc=example,dc=org
changetype: modify
add: aci
aci: (targetattr!="userPassword || aci")(version 3.0; acl "Enable anonymous access"; allow (read, search, compare) userdn="ldap:///anyone";)
EOFpki-core 软件包中的已知问题:
由连接到 PKI CA 的 PKI ACME Responder 发布的证书可能无法通过 OCSP 验证
PKI CA 提供的默认 ACME 证书配置文件包含一个 OCSP URL 示例,它不指向实际 OCSP 服务。因此,如果将 PKI ACME Responder 配置为使用 PKI CA 签发者,则响应者发布的证书可能会失败 OCSP 验证
要临时解决这个问题,您需要在 /usr/share/pki/ca/profiles/ca/acmeServerCert.cfg 配置文件中将 policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0 属性设置为空白值:
-
在 ACME Responder 配置文件中,将行
policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0=http://ocsp.example.com改为policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0= - 重启服务并重新生成证书
因此,PKI CA 将使用自动生成的 OCSP URL 生成 ACME 证书,指向实际 OCSP 服务。
使用带有 --agent-uid pkidbuser 选项的 cert-fix 工具会破坏证书系统
使用带有 --agent-uid pkidbuser 选项的 cert-fix 工具会破坏证书系统的 LDAP 配置。因此,证书系统可能会变得不稳定,需要手动步骤才能恢复该系统。
