4.4. CS 10.2 中已知的问题
这部分论述了用户在 Red Hat Certificate System 10.2 中应该了解的已知问题,如果适用,临时解决方案。
pcsc-lite、pcsc-lite-ccid 和 esc的已知问题
从 Red Hat Certificate System 10.2 的发行日期起,pcsc-lite、pcsc-lite-ccid 和 esc 软件包的版本存在一个已知问题,目前可用的 esc 软件包可能会导致无法完成具有特定 SCP03 和 SCP01 令牌的安全频道。RHEL 8.4 的批处理更新将提供这些软件包的修正版本。
使用 HSM 克隆 KRA 失败
使用 HSM 克隆 KRA 失败,错误 auditSigningCert cert-topology-02-KRA KRA 无效: Invalid certificate: (-8101) certificate type not approved for application in the clone debug log.
在验证 SubCA 签名证书时,子 CA 双步安装会失败
在启用了 FIPS 的 HSM 环境中使用两步安装 SubCA 会失败。使用 RSA 或 ECC 选项之一时,验证 SubCA 签名证书会返回错误。
TPS 需要添加匿名绑定 ACI 访问
在以前的版本中,默认允许匿名绑定 ACI,但现在在 LDAP 中被禁用。因此,这可以防止注册或格式化 TPS 智能卡。
要临时解决这个问题,直到修复前,您需要在目录服务器中添加匿名绑定 ACI:
$ ldapmodify -D "cn=Directory Manager" -W -x -p 3389 -h hostname -x <<EOF
dn: dc=example,dc=org
changetype: modify
add: aci
aci: (targetattr!="userPassword || aci")(version 3.0; acl "Enable anonymous access"; allow (read, search, compare) userdn="ldap:///anyone";)
EOFpki-core 软件包中的已知问题:
使用带有 --agent-uid pkidbuser 选项的 cert-fix 工具会破坏证书系统
使用带有 --agent-uid pkidbuser 选项的 cert-fix 工具会破坏证书系统的 LDAP 配置。因此,证书系统可能会变得不稳定,需要手动步骤才能恢复该系统。
