红帽全球峰会第 2 章 Red Hat Certificate System 10.8 on Red Hat Enterprise Linux 8.10
这部分论述了 Red Hat Certificate System 10.8 中的显著变化,如突出显示的更新和新功能、重要的程序错误修复以及用户应该了解的当前已知问题。
不支持将 Red Hat Certificate System 降级到以前的次版本。
2.1. CS 10.8 中的更新和新功能
本节记录了红帽认证系统 10.8 中的新功能及重要更新:
证书系统软件包已 rebase 到版本 11.6。
证书系统现在默认为 Random Serial Numbers
如果您要从证书系统 10.6 迁移到证书系统 10.8,请注意证书系统 10.8 现在默认为 Random Serial Numbers v3 (RSNv3)。
如果证书系统 10.6 实例使用 SSN 或 RSNv1,它将象迁移到证书系统 10.8 后继续工作。如果需要,您可以切换到 RSNv3。
如果您安装一个新的证书系统 10.8 实例,则默认使用 RSNv3,除非您明确将其配置为使用 Sequential Serial Numbers (SSN)或 RSNv1。
注:迁移到 RSNv3 后,不支持切换到 SSN RSNv1。
证书系统现在支持 Sequential Serial Numbers v2
顺序序列号 v2 (SSNv2)的工作方式与带有序列号的 SSNv1 相同,但需要不同的配置并解决证书序列号相邻分配的问题。
备注:
SSNv2 仅支持 CA 中的请求和证书。
使用 dbs.enableRandomSerialNumbers=true 的随机序列号不支持 SSNv2。改为使用 RSNv3。
KRA 中的请求和密钥不支持 SSNv2。改为使用 RSNv3。
证书系统现在支持通过安全传输协议注册
RHCS 添加了对安全传输(EST)协议注册的支持。EST 是一个加密协议,用于为设备提供安全证书注册。EST 专为自动注册和证书管理而设计。有关 EST 的更多信息,请参阅 RFC7030。
有关安装的更多详细信息,请参阅规划、安装和部署指南以及配置 EST 的详情,请参阅管理指南。
证书系统现在支持 OAEP 密钥嵌套算法支持
在 RHCS 中添加了对 Optimal Asymmetric Encryption Padding (OAEP)密钥嵌套算法的支持,而是使用旧的 PKCS Complete 算法。较新的 HSM 设备和启用了 FIPS 的 NSS 版本通常需要此算法才能使用。
有两种情况:OAEP 最常使用:
- 在 RHCS 子系统中,如 KRA、TPS 和 TKS。
- 通过各种与 RHCS 子系统交互的命令行工具使用。
有关安装的更多详细信息,请参阅规划、安装和部署指南以及配置 OAEP 的信息,请参阅管理指南。
证书系统支持清除过期的证书
现在,您可以配置 CA 数据库修剪,允许您从 CA 数据库清除过期的证书和证书请求记录。在以前的版本中,没有执行此操作的方法,数据库将继续增长,并可能导致存储、性能下降和成本增加的问题。
注意:为了安全地删除记录,CA 需要使用 RSNv3 生成证书序列号和注册/续订请求 ID。
RHCS 中的 CA 提供了一个删除的修剪任务:
- 一些时间过期的证书
- 完成与过期证书对应的请求
- 已闲置一段时间的未完成的请求
您应该将作业计划定期运行,以在每次运行时删除一定数量的记录。剩余的记录将在后续运行中删除。在大型部署中,可以在集群中的服务器之间分发作业。
添加了密码策略以强制实施配置的密码复杂性
在注册了 server-sde 键生成过程中,已提供了一个新的密码策略选项,以强制用户定义密码质量。这可让客户使用生成的证书和密钥增加交换 PKCSCheckResult 文件的安全性。
策略允许您设置:
-
password.minSize:密码的最小大小。 -
password.minUpperLetter:大写字母的最小数量。 -
password.minLowerLetter: 最小小写字母数。 -
password.minNumber:最小数字数。 -
password.minSpecialChar: 最小标点字符数。 -
password.seqLength:无法重复的子字符串序列的大小。 -
password.maxRepeatedChar: 字符可以重复的最大次数。
您可以为每个配置集配置密码复杂性,但可在 CS.cfg 中配置默认值。
ACME 现在在 RHCS 中被完全支持
现在,红帽认证系统(RHCS)通过自动化证书管理环境(ACME)响应器的服务器证书颁发。ACME 响应器支持 ACME v2 协议(RFC 8555)。
在以前的版本中,用户必须使用证书颁发机构(CA)的专有证书签名请求(CSR)提交例程。例程有时需要证书颁发机构(CA)代理来手动检查请求并颁发证书。
RHCS ACME 响应器现在为自动化服务器证书颁发。以及不需要涉及 CA 代理的生命周期管理提供了一个标准的机制。此功能允许 RHCS CA 与现有的证书颁发基础架构集成,来针对公共 CA 进行部署,针对内部 CA 进行开发。
如需更多信息,请参阅 ACME 的 IETF 定义。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}