红帽全球峰会第 5 章 Red Hat Certificate System 9.3
这部分论述了 Red Hat Certificate System 9.3 中的更改。
5.1. 支持的平台
复制链接链接已复制到粘贴板!
这部分论述了 Red Hat Certificate System 9.3 支持的不同服务器平台、硬件、令牌和软件。
5.1.1. 服务器支持
复制链接链接已复制到粘贴板!
Red Hat Enterprise Linux 7.5 及更新的版本支持运行证书颁发机构(CA)、密钥恢复授权机构(KRA)、在线证书状态协议(OCSP)、令牌密钥服务(TKS)和令牌处理系统(TPS)子系统。支持的目录服务器版本为 10.2 及更新的版本。
注意
证书系统 9.3 支持在认证的 hypervisor 上的 Red Hat Enterprise Linux 虚拟客户端上运行。详情请查看 哪个 hypervisor 经过认证可运行 Red Hat Enterprise Linux? 解决方案文章。
5.1.2. 客户端支持
复制链接链接已复制到粘贴板!
企业级安全客户端(ESC)支持:
- Red Hat Enterprise Linux 7.
- Red Hat Enterprise Linux 5 和 6 的最新版本。虽然这些平台不支持 Red Hat Certificate System 9.3,但这些客户端可与 Red Hat Certificate System 9.3 中的令牌管理系统(TMS)系统一起使用。
5.1.3. 支持的 Web 浏览器
复制链接链接已复制到粘贴板!
证书系统 9.3 支持以下浏览器:
| 平台 | 代理服务 | 最终用户页面 |
|---|---|---|
| Red Hat Enterprise Linux | Firefox 52 及更新的版本 [a] | Firefox 52 及更新的版本 [a] |
| Windows 7 | Firefox 52 及更新的版本 [a] |
Firefox 52 及更新的版本
Internet Explorer 10 [b]
|
[a]
此 Firefox 版本不再支持用于从浏览器中生成和归档密钥的加密 Web 对象。 [b]
Red Hat Certificate System 9 目前不支持 Internet Explorer 11,因为此网页浏览器的注册代码依赖于 Visual Basic Script,它在 Internet Explorer 11 中已被弃用。
| ||
注意
基于 HTML 的实例配置的唯一完全支持的浏览器是 Mozilla Firefox。
5.1.4. 支持的智能卡
复制链接链接已复制到粘贴板!
企业安全客户端(ESC)支持全局平台 2.01- 兼容智能卡和 JavaCard 2.1 或更高版本。
证书系统子系统已使用以下令牌进行测试:
- Gemalto TOP IM FIPS CY2 64K 令牌(SCP01)
- Giesecke & Devrient (G&D) SmartCafe the 6.0 (SCP03)
- SafeNet Assured Technologies SC-650 (SCP01)
证书系统唯一支持的卡管理器小程序是 CoolKey 小程序,这是 Red Hat Certificate System 中的 pki-tps 软件包的一部分。
5.1.5. 支持的硬件安全模块
复制链接链接已复制到粘贴板!
下表列出了 Red Hat Certificate System 支持的硬件安全模块(HSM):
| HSM | firmware | 设备软件 | 客户端软件 |
|---|---|---|---|
| Thales nCipher nShield Connect 6000 | 2.61.2 | CipherTools-linux64-dev-12.30.00 | CipherTools-linux64-dev-12.30.00 |
|
Gemalto SafeNet Luna SA 1700 / 7000 (limited)
(有限的支持 [a] )
| 6.24.0 | 6.2.0-15 | libcryptoki-6.2.x86_64 |
[a]
有关支持的功能的详情,请参考 第 5.1.5.1 节 “Gemalto SafeNet Luna SA 1700 / 7000 (limited)”。
| |||
5.1.5.1. Gemalto SafeNet Luna SA 1700 / 7000 (limited)
复制链接链接已复制到粘贴板!
本节提供有关使用 Gemalto SafeNet Luna SA 1700 / 7000 HSM 时支持的功能的信息。
Gemalto SafeNet Luna SA 仅支持 CKE 中的 PKI 私钥提取 - 密钥导出模型,且仅在非FIPS 模式中。FIPS 模式中的 Luna SA Cloning 模型和 CKE 模型不支持 PKI 私钥提取。当 Luna SA CKE - 密钥导出模型处于 FIPS 模式时,无法提取 PKI 私钥。
- CL - Cloning Model
- 克隆对称密钥和对象:其他 Luna SAs/G5 或 Luna Backup HSM
- 克隆非对称(私有)密钥和对象:其他 Luna SAs/G5 或 Luna Backup HSM
- 对称密钥和对象的复制:在 HA 组中配置时复制所有对称密钥和对象
- 非对称密钥和对象的复制 :在 HA 组中配置所有非对称密钥和对象
- 在 HSM 中嵌套私有(asymmetric)密钥: Not possible
图 5.1. Cloning Model 示例
- CKE - 密钥导出模型
- 克隆对称密钥和对象:其他 Luna SAs/G5 或 Luna Backup HSM
- 克隆非对称(私钥)密钥和对象:不可可能
- 对称密钥和对象的复制:在 HA 组中配置时复制所有对称密钥和对象
- 非对称密钥和对象的复制:无法进行
- 使用 HSM: Possible 嵌套私有(asymmetric)密钥
图 5.2. 密钥导出模型示例
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}