第 26 章 管理证书和证书颁发机构
26.1. 轻量级子 CA
如果您的 IdM 安装配置了集成证书系统(CS)证书颁发机构(CA),您可以创建轻量级子 CA。它们允许您配置服务,如虚拟专用网络(VPN)网关,以仅接受由一个子 CA 发布的证书。同时,您可以将其他服务配置为仅接受由不同子 CA 或 root CA 发布的证书。
如果您撤销子 CA 的中间证书,此子 CA 发布的所有证书都自动无效。
如果您使用集成的 CA 设置 IdM,则自动创建的
ipa
CA 是证书系统的根 CA。您创建的所有子 CA 都从属到这个 root CA。
26.1.1. 创建轻量级子 CA
有关创建子 CA 的详情,请参考
从 Web UI 创建子 CA
要创建一个名为 vpn-ca 的新子 CA :
- 打开 Authentication 选项卡,然后选择 证书 子选项卡。
- 选择 证书授权 并单击 。
- 输入 CA 的名称和主题 DN。
图 26.1. 添加 CA
主题 DN 在 IdM CA 基础架构中必须是唯一的。
从命令行创建子 CA
要创建一个名为 vpn-ca 的新子 CA,请输入:
[root@ipaserver ~]# ipa ca-add vpn-ca --subject="CN=VPN,O=IDM.EXAMPLE.COM" ------------------- Created CA "vpn-ca" ------------------- Name: vpn-ca Authority ID: ba83f324-5e50-4114-b109-acca05d6f1dc Subject DN: CN=VPN,O=IDM.EXAMPLE.COM Issuer DN: CN=Certificate Authority,O=IDM.EXAMPLE.COM
- Name
- CA 的名称。
- 颁发机构 ID
- 自动创建,为 CA 单独创建 ID。
- 主题 DN
- 主题区分名称(DN)。主题 DN 在 IdM CA 基础架构中必须是唯一的。
- 签发者 DN
- 发布子 CA 证书的父 CA。所有子 CA 都是作为 IdM root CA 的子 CA 创建的。
要验证新的 CA 签名证书是否已成功添加到 IdM 数据库中,请运行:
[root@ipaserver ~]# certutil -d /etc/pki/pki-tomcat/alias/ -L
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
caSigningCert cert-pki-ca CTu,Cu,Cu
Server-Cert cert-pki-ca u,u,u
auditSigningCert cert-pki-ca u,u,Pu
caSigningCert cert-pki-ca ba83f324-5e50-4114-b109-acca05d6f1dc u,u,u
ocspSigningCert cert-pki-ca u,u,u
subsystemCert cert-pki-ca u,u,u
注意
当新 CA 证书安装证书系统实例时,它们会自动传输到所有副本。
26.1.2. 删除轻量级子 CA
有关删除子 CA 的详情,请参考
从 Web UI 中删除子 CA
- 打开 Authentication 选项卡,然后选择 证书 子选项卡。
- 选择 证书颁发机构 。
- 选择要删除的子 CA,然后单击""。
- 单击确认。
从命令行删除子 CA
要删除子 CA,请输入:
[root@ipaserver ~]# ipa ca-del vpn-ca ------------------- Deleted CA "vpn-ca" -------------------