红帽全球峰会4.2. 支持的平台
这部分论述了 Red Hat Certificate System 9.4 支持的不同服务器平台、硬件、令牌和软件。
4.2.1. 服务器支持
复制链接链接已复制到粘贴板!
Red Hat Enterprise Linux 7.6 及更新的版本支持运行证书颁发机构(CA)、密钥恢复授权机构(KRA)、在线证书状态协议(OCSP)、令牌密钥服务(TKS)和令牌处理系统(TPS)子系统。支持的目录服务器版本为 10.3 及更新的版本。
注意
证书系统 9.4 支持在认证的 hypervisor 上的 Red Hat Enterprise Linux 虚拟客户端上运行。详情请查看 哪个 hypervisor 经过认证可运行 Red Hat Enterprise Linux? 解决方案文章。
4.2.2. 客户端支持
复制链接链接已复制到粘贴板!
企业级安全客户端(ESC)支持:
- Red Hat Enterprise Linux 7.
- Red Hat Enterprise Linux 5 和 6 的最新版本。虽然这些平台不支持 Red Hat Certificate System 9.4,但这些客户端可与 Red Hat Certificate System 9.4 中的令牌管理系统(TMS)系统一起使用。
4.2.3. 支持的 Web 浏览器
复制链接链接已复制到粘贴板!
证书系统 9.4 支持以下浏览器:
| 平台 | 代理服务 | 最终用户页面 |
|---|---|---|
| Red Hat Enterprise Linux | Firefox 60 及更新的版本 [a] | Firefox 60 及更新的版本 [a] |
| Windows 7 | Firefox 60 及更新的版本 [a] |
Firefox 60 及更新的版本
Internet Explorer 10 [b]
|
[a]
此 Firefox 版本不再支持用于从浏览器中生成和归档密钥的加密 Web 对象。 [b]
Red Hat Certificate System 9 目前不支持 Internet Explorer 11,因为此网页浏览器的注册代码依赖于 Visual Basic Script,它在 Internet Explorer 11 中已被弃用。
| ||
注意
基于 HTML 的实例配置的唯一完全支持的浏览器是 Mozilla Firefox。
4.2.4. 支持的智能卡
复制链接链接已复制到粘贴板!
企业安全客户端(ESC)支持全局平台 2.01- 兼容智能卡和 JavaCard 2.1 或更高版本。
证书系统子系统已使用以下令牌进行测试:
- Gemalto TOP IM FIPS CY2 64K 令牌(SCP01)
- Giesecke & Devrient (G&D) SmartCafe the 7.0 (SCP03)
- SafeNet Assured Technologies SC-650 (SCP01)
证书系统唯一支持的卡管理器小程序是 CoolKey 小程序,这是 Red Hat Certificate System 中的 pki-tps 软件包的一部分。
4.2.5. 支持的硬件安全模块
复制链接链接已复制到粘贴板!
下表列出了 Red Hat Certificate System 支持的硬件安全模块(HSM):
| HSM | firmware | 设备软件 | 客户端软件 |
|---|---|---|---|
| Thales nCipher nShield Connect 6000 | 2.61.2 | CipherTools-linux64-dev-12.30.00 | CipherTools-linux64-dev-12.30.00 |
|
Gemalto SafeNet Luna SA 1700 / 7000 (limited)
(有限的支持 [a] )
| 6.24.0 | 6.2.0-15 | libcryptoki-6.2.x86_64 |
[a]
有关支持的功能的详情,请参考 第 4.2.5.1 节 “Gemalto SafeNet Luna SA 1700 / 7000 (limited)”。
| |||
4.2.5.1. Gemalto SafeNet Luna SA 1700 / 7000 (limited)
复制链接链接已复制到粘贴板!
本节提供有关使用 Gemalto SafeNet Luna SA 1700 / 7000 HSM 时支持的功能的信息。
Gemalto SafeNet Luna SA 仅支持 CKE 中的 PKI 私钥提取 - 密钥导出模型,且仅在非FIPS 模式中。FIPS 模式中的 Luna SA Cloning 模型和 CKE 模型不支持 PKI 私钥提取。当 Luna SA CKE - 密钥导出模型处于 FIPS 模式时,无法提取 PKI 私钥。
- CL - Cloning Model
- 克隆对称密钥和对象:其他 Luna SAs/G5 或 Luna Backup HSM
- 克隆非对称(私有)密钥和对象:其他 Luna SAs/G5 或 Luna Backup HSM
- 对称密钥和对象的复制:在 HA 组中配置时复制所有对称密钥和对象
- 非对称密钥和对象的复制 :在 HA 组中配置所有非对称密钥和对象
- 在 HSM 中嵌套私有(asymmetric)密钥: Not possible
图 4.1. Cloning Model 示例
- CKE - 密钥导出模型
- 克隆对称密钥和对象:其他 Luna SAs/G5 或 Luna Backup HSM
- 克隆非对称(私钥)密钥和对象:不可可能
- 对称密钥和对象的复制:在 HA 组中配置时复制所有对称密钥和对象
- 非对称密钥和对象的复制:无法进行
- 使用 HSM: Possible 嵌套私有(asymmetric)密钥
图 4.2. 密钥导出模型示例
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}