Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.4. CS 10.6 中已知的问题

这部分论述了您应该在 Red Hat Certificate System 10.6 中了解的已知问题(如果适用)。

TPS 需要添加匿名绑定 ACI 访问

在以前的版本中,默认允许匿名绑定 ACI,但现在在 LDAP 中被禁用。因此,这可以防止注册或格式化 TPS 智能卡。

要临时解决这个问题,您需要在目录服务器中手动添加匿名绑定 ACI: 

$ ldapmodify -D "cn=Directory Manager" -W -x -p 3389 -h hostname -x <<EOF
dn: dc=example,dc=org
changetype: modify
add: aci
aci: (targetattr!="userPassword || aci")(version 3.0; acl "Enable anonymous access"; allow (read, search, compare) userdn="ldap:///anyone";)
EOF
Copy to Clipboard Toggle word wrap

pki-core 软件包中的已知问题:

因为 auditSigningCert缺少属性,使用 HSM 克隆 KRA 会失败

当使用硬件安全模块(HSM)克隆密钥恢复授权(KRA)时,auditSigningCert trust attribute u,u,Pu 应该会隐式在 master 和克隆之间的别名 DB 中同步。但是,它现在无法在克隆的别名 DB 中复制。因此,使用 HSM 克隆 KRA 会失败,并显示 auditSigningCert cert-topology-02-KRA KRA is invalid: Invalid certificate: (-8101)证书类型没有为应用程序批准

要临时解决这个问题,您必须在克隆 KRA 的别名 DB 中明确为 auditSigningCert 添加 u,u,Pu trust 属性,并重新启动实例。例如:

  • 在临时解决方案前: 

    # certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J
  Enter Password or Pin for "token":
  certutil: certificate is invalid: Certificate type not approved for application.
    Copy to Clipboard Toggle word wrap

  • 在临时解决方案后: 

    # certutil -M -d /var/lib/pki/clone-KRA/alias/ -n 'token:auditSigningCert cert-topology-02-KRA KRA' -t u,u,Pu
# certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J
  Enter Password or Pin for "token":
  certutil: certificate is valid
    Copy to Clipboard Toggle word wrap

使用带有 --agent-uid pkidbuser 选项的 cert-fix 工具会破坏证书系统

使用带有 --agent-uid pkidbuser 选项的 cert-fix 工具会破坏证书系统的 LDAP 配置。因此,证书系统可能会变得不稳定,需要手动步骤才能恢复该系统。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat