第 4 章 设置 Key Archival 和恢复
有关密钥归档和恢复的更多信息,请参阅 Red Hat Certificate System 规划 、安装和部署指南中的归档、恢复和轮转密钥 部分。
本章解释了如何设置密钥恢复授权(KRA),之前称为 数据恢复管理器(DRM),以归档私钥并恢复加密数据的归档密钥。
注意
本章仅讨论通过客户端生成密钥归档密钥。服务器端密钥生成和存档(无论是通过 TPS 启动还是通过 CA 的最终用户实体门户启动)。
有关智能卡密钥恢复的详情,请参考 第 6.11 节 “设置服务器端密钥生成”。
有关 CA 的 EE 门户提供的服务器端密钥生成的详情,请参考 第 5.2.2 节 “使用服务器端密钥生成 CSR”。
注意
Gemalto SafeNet LunaSA 仅支持 CKE 中的 PKI 私钥提取 - 密钥导出模型,且仅在非FIPS 模式中。FIPS 模式中的 LunaSA Cloning 模型和 CKE 模型不支持 PKI 私钥提取。
安装 KRA 后,它会加入安全域,并与 CA 配对。目前,它被配置为归档和恢复私钥。但是,如果 KRA 证书由外部 CA 发布,而不是安全域中的一个 CA,则必须手动设置密钥归档和恢复过程。
如需更多信息,请参阅 Red Hat Certificate System 规划、安装和部署指南中的 手动设置密钥存档 部分。
注意
在克隆的环境中,需要手动设置密钥归档和恢复。如需更多信息,请参阅 Red Hat Certificate System Planning, Installation and Deployment Guide 中的 Updating CA-KRA Connector Information after Cloning 部分。
4.1. 在控制台中配置代理应用密钥恢复
注意
虽然可在控制台中配置密钥恢复代理 数量,但要使用的 组 只能在
CS.cfg 文件中设置。控制台默认使用 密钥恢复授权代理组。
- 打开 KRA 的控制台。例如:
pkiconsole https://server.example.com:8443/kra
- 单击左侧导航树中的 Key Recovery Authority 链接。
- 在 所需的 Agents 字段中输入用于批准密钥恢复的代理数量。
注意
有关如何在
CS.cfg 文件中配置代理批准密钥恢复的更多信息,请参阅 Red Hat Certificate System 规划、安装和部署指南中的 命令行配置 密钥恢复部分。
