第 5 章 规划您的 CA 服务


Red Hat Enterprise Linux 中的身份管理 (IdM) 提供不同类型的证书颁发机构 (CA) 配置。以下小节描述了不同的场景,并为您提供最适合您的用例的建议。

CA 主题 DN
证书颁发机构 (CA) 主题区分名称 (DN) 是 CA 的名称。它必须在 Identity Management (IdM) CA 基础架构中具有全局唯一性,且在安装后不可更改。如果您需要 IdM CA 进行外部签名,您可能需要咨询外部 CA 管理员有关您的 IdM CA 主题 DN 应采用的形式。
注意

如果要使用硬件安全模块(HSM)存储 CA 和 KRA 密钥和证书,则无法将 HSM 中未生成密钥的现有安装升级到基于 HSM 的安装。

5.1. IdM 服务器中的 CA 服务

您可以使用集成 IdM 证书颁发机构 (CA) 或者没有 CA 安装 Identity Management (IdM) 服务器。

Expand
表 5.1. 带有集成 CA 和没有集成 CA 的 IdM 的比较
 集成的 CA没有 CA

概述:

IdM 使用自己的公钥基础架构 (PKI) 服务及 CA 签名证书在 IdM 域中创建和签署证书。

  • 如果 root CA 是集成的 CA,IdM 将使用自签名的 CA 证书。
  • 如果 root CA 是外部 CA,集成的 IdM CA 会从属到外部 CA。IdM 使用的 CA 证书由外部 CA 签名,但 IdM 域的所有证书都由集成证书系统实例发布。
  • 集成的 CA 也可以为用户、主机或服务发布证书。

外部 CA 可以是企业 CA 或第三方 CA。

IdM 不会设置其自身 CA,而是使用来自外部 CA 的签名主机证书。

安装没有 CA 的服务器需要您从第三方认证机构请求以下证书:

  • LDAP 服务器证书
  • Apache 服务器证书
  • PKINIT 证书
  • 发布 LDAP 和 Apache 服务器证书的 CA 完整 CA 证书链

限制:

如果集成的 CA 属于外部 CA,则在 IdM 域中发布的证书可能会受到外部 CA 为各种证书属性设置的限制,例如:

  • 有效周期。
  • 对 IDM CA 或其下级发布的证书可能出现的主题名称的限制。
  • 限制 IDM CA 是否可以自己签发从属 CA 证书,或者如何"依赖"下级证书链。

在 IdM 外部管理证书会导致许多其他活动,例如:

  • 创建、上传和更新证书是一个手动过程。
  • certmonger 服务不跟踪 IPA 证书(LDAP 服务器、Apache 服务器和 PKINIT 证书),也不会在证书即将过期时通知您。管理员必须为外部发布的证书设置通知,或者对这些证书设置跟踪请求(如果管理员希望 certmonger 跟踪它们)。

这最适合于:

允许您创建和使用自己的证书基础架构的环境。

在非常罕见的情况下,基础架构内的限制不允许您安装与服务器集成的证书服务。

注意

从自签名 CA 切换到外部签名 CA 或其他方式,以及更改外部 CA 签发 IdM CA 证书,即使安装后也可以更改哪些外部 CA 证书。即使在没有 CA 的安装后也可以配置集成 CA。如需了解更多详细信息,请参阅安装 IdM 服务器:带有集成 DNS,没有 CA

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat