第 5 章 规划您的 CA 服务
Red Hat Enterprise Linux 中的身份管理 (IdM) 提供不同类型的证书颁发机构 (CA) 配置。以下小节描述了不同的场景,并为您提供最适合您的用例的建议。
- CA 主题 DN
- 证书颁发机构 (CA) 主题区分名称 (DN) 是 CA 的名称。它必须在 Identity Management (IdM) CA 基础架构中具有全局唯一性,且在安装后不可更改。如果您需要 IdM CA 进行外部签名,您可能需要咨询外部 CA 管理员有关您的 IdM CA 主题 DN 应采用的形式。
如果要使用硬件安全模块(HSM)存储 CA 和 KRA 密钥和证书,则无法将 HSM 中未生成密钥的现有安装升级到基于 HSM 的安装。
5.1. IdM 服务器中的 CA 服务 复制链接链接已复制到粘贴板!
您可以使用集成 IdM 证书颁发机构 (CA) 或者没有 CA 安装 Identity Management (IdM) 服务器。
集成的 CA | 没有 CA | |
---|---|---|
概述: | IdM 使用自己的公钥基础架构 (PKI) 服务及 CA 签名证书在 IdM 域中创建和签署证书。
外部 CA 可以是企业 CA 或第三方 CA。 | IdM 不会设置其自身 CA,而是使用来自外部 CA 的签名主机证书。 安装没有 CA 的服务器需要您从第三方认证机构请求以下证书:
|
限制: | 如果集成的 CA 属于外部 CA,则在 IdM 域中发布的证书可能会受到外部 CA 为各种证书属性设置的限制,例如:
| 在 IdM 外部管理证书会导致许多其他活动,例如:
|
这最适合于: | 允许您创建和使用自己的证书基础架构的环境。 | 在非常罕见的情况下,基础架构内的限制不允许您安装与服务器集成的证书服务。 |
从自签名 CA 切换到外部签名 CA 或其他方式,以及更改外部 CA 签发 IdM CA 证书,即使安装后也可以更改哪些外部 CA 证书。即使在没有 CA 的安装后也可以配置集成 CA。如需了解更多详细信息,请参阅安装 IdM 服务器:带有集成 DNS,没有 CA。