7.2. 安装带有密钥和证书存储在 HSM 上的集成的 CA 的 IdM 服务器

流程

1. 运行 install 命令，确保您指定了 PKCS #11 库的位置、令牌名称和令牌密码：

   ipa-server-install -a <password> -p <dmpassword>-r <IDM.EXAMPLE.COM> -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=<HSM-TOKEN> --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so

   Copy to Clipboard Toggle word wrap
2. 提示时指定令牌密码。

验证

1. 运行 certutil 以显示 CA 证书信息：

   certutil -L -d /etc/pki/pki-tomcat/alias
   
   Certificate Nickname                    Trust Attributes
                                           SSL,S/MIME,JAR/XPI
   
   caSigningCert cert-pki-ca               CT,C,C
   ocspSigningCert cert-pki-ca             ,,
   Server-Cert cert-pki-ca                 u,u,u
   subsystemCert cert-pki-ca               ,,
   auditSigningCert cert-pki-ca            ,,P

   Copy to Clipboard Toggle word wrap

   请注意，如果证书的 Trust Attributes 下没有列出 u，这表示私钥存储在令牌上。在这种情况下，只有 Server-Cert cert-pki-ca 有 u 标志，因为性能原因，它没有安装在 HSM 上。

2. 验证密钥和证书是否已存储在 HSM 上：

   certutil -L -d /etc/pki/pki-tomcat/alias -h <HSM-TOKEN>
   
   Certificate Nickname                                Trust Attributes
   	   SSL,S/MIME,JAR/XPI
   
   Enter Password or Pin for "<HSM-TOKEN>":
   <HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
   <HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
   <HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
   <HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu

   Copy to Clipboard Toggle word wrap

   证书名称以 HSM 令牌名称为前缀，其表示私钥和证书已存储在令牌上。

   存储密钥的位置不会影响用户如何获取或使用证书。