2.3. 图形界面
重要
pkiconsole 已被弃用。
证书系统控制台
pkiconsole 是一个图形界面,专为具有管理员角色权限的用户而设计,以管理子系统本身。这包括添加用户、配置日志、管理配置集和插件以及许多其他功能。此实用程序使用客户端身份验证通过 TLS 与证书系统服务器通信,并可用于远程管理服务器。
2.3.1. pkiconsole 初始化
要第一次使用
pkiconsole 接口,请指定新密码并使用以下命令:
$ pki -c password -d ~/.redhat-idm-console client-init
此命令在
~/.redhat-idm-console/ 目录中创建新客户端 NSS 数据库。
要将 CA 证书导入到 PKI 客户端 NSS 数据库中,请参阅 Red Hat Certificate System Planning , Installation, and Deployment Guide中的将证书导入到 NSS 数据库 部分。
要请求新客户端证书,请参阅 第 5 章 请求、注册和管理证书。
执行以下命令,从
.p12 文件中提取 admin 客户端证书:
$ openssl pkcs12 -in file -clcerts -nodes -nokeys -out file.crt
按照 Red Hat Certificate System Planning, Installation, and Deployment Guide 中的 Managing Certificate/Key Crypto Token 部分所述,验证并导入 admin 客户端证书:
$ PKICertImport -d ~/.redhat-idm-console -n "nickname" -t ",," -a -i file.crt -u C
重要
在导入 CA admin 客户端证书前,请确保所有中间证书和 root CA 证书都已导入。
要将现有客户端证书及其密钥导入到客户端 NSS 数据库中:
$ pki -c password -d ~/.redhat-idm-console pkcs12-import --pkcs12-file file --pkcs12-password pkcs12-password
使用以下命令验证客户端证书:
$ certutil -V -u C -n "nickname" -d ~/.redhat-idm-console
2.3.2. 将 pkiconsole 用于 CA、OCSP、KRA 和 TKS 子系统
Java 控制台供四个子系统使用:CA、IADP、KRA 和 TKS。可以使用本地安装的 pkiconsole 工具访问控制台。它可以访问任何子系统,因为命令需要主机名、子系统的管理 TLS 端口和特定的子系统类型。
pkiconsole https://server.example.com:admin_port/subsystem_type
如果没有配置 DNS,您可以使用 IPv4 或 IPv6 地址连接到控制台。例如:
https://192.0.2.1:8443/ca https://[2001:DB8::1111]:8443/ca
这会打开控制台,如 图 2.1 “证书系统控制台” 中所示。
图 2.1. 证书系统控制台
Configuration 选项卡控制子系统的所有设置,如名称所示。此选项卡中可用的选项根据实例的子系统类型而有所不同;CA 具有最大选项,因为它具有对作业、通知和证书注册身份验证的额外配置。
- 用户和组
- 访问控制列表
- 日志配置
- 子系统证书(例如,在安全域或审计签名中)签发到子系统的证书。
