4.2. 在非对称库中存储 IdM 服务 secret

步骤

1. 以管理员身份登录：

   $ kinit admin

   Copy to Clipboard Toggle word wrap

2. 获取服务实例的公钥。例如，使用 openssl 工具：

   1. 生成 service-private.pem 私钥。

      $ openssl genrsa -out service-private.pem 2048
      Generating RSA private key, 2048 bit long modulus
      .+++
      ...........................................+++
      e is 65537 (0x10001)

      Copy to Clipboard Toggle word wrap

   2. 根据私钥生成 service-public.pem 公钥。

      $ openssl rsa -in service-private.pem -out service-public.pem -pubout
      writing RSA key

      Copy to Clipboard Toggle word wrap

3. 创建一个非对称密码库作为服务实例库，并提供公钥：

   $ ipa vault-add secret_vault --service HTTP/webserver.idm.example.com --type asymmetric --public-key-file service-public.pem
   ----------------------------
   Added vault "secret_vault"
   ----------------------------
   Vault name: secret_vault
   Type: asymmetric
   Public key: LS0tLS1C...S0tLS0tCg==
   Owner users: admin
   Vault service: HTTP/webserver.idm.example.com@IDM.EXAMPLE.COM

   Copy to Clipboard Toggle word wrap

   存档到密码库中的密码将通过 密钥进行保护。

4. 将服务 secret 归档到服务库中：

   $ ipa vault-archive secret_vault --service HTTP/webserver.idm.example.com --in private-key-to-an-externally-signed-certificate.pem
   -----------------------------------
   Archived data into vault "secret_vault"
   -----------------------------------

   Copy to Clipboard Toggle word wrap

   这将使用服务实例公钥加密机密。

5. 对需要机密的每个服务实例重复这些步骤。为每个服务实例创建一个新的非对称库。