14.6. 查看安全域配置
安全域 是 PKI 服务的 registry。PKI 服务(如 CA)在这些域中注册有关自身的信息,以便 PKI 服务用户可以通过检查 registry 来查找其他服务。证书系统中的安全域服务同时管理证书系统子系统和一组共享信任策略的 PKI 服务注册。
安全域自动管理子系统之间的信任关系,因此如果 TPS、TKS 和 KRA 位于同一安全域中,则可以安全地通信。
注意
安全域在子系统配置期间使用。设置子系统后,它可以检查安全域 registry 以查看可用的实例。如果需要与另一个实例创建可信关系 - 类似于使用 TKS 和 KRA 的 TPS 和 KRA,则安全域用于在所选 TKS 和 KRA 实例上创建 TPS 代理用户。
registry 提供该域内子系统提供的所有 PKI 服务的完整视图。每个证书系统子系统必须是主机或安全域的成员。
只有 CA 可以托管和管理安全域。每个 CA 都有自己的 LDAP 条目,安全域是该 CA 条目下的机构组:
ou=Security Domain,dc=example,dc=com
然后,安全域组织组下每个子系统类型的列表,有一个特殊的对象类(pkiSecurityGroup)来识别组类型:
cn=KRAList,ou=Security Domain,dc=example,dc=com objectClass: top objectClass: pkiSecurityGroup cn: KRAList
然后,每个子系统实例都作为该组的成员存储,并有一个特殊的 pkiSubsystem对象类来识别条目类型:
dn: cn=server.example.com:8443,cn=KRAList,ou=Security Domain,dc=example,dc=com objectClass: top objectClass: pkiSubsystem cn: kra.example.com:8443 host: server.example.com SecurePort: 8443 SecureAgentPort: 8443 SecureAdminPort: 8443 UnSecurePort: 8080 DomainManager: false Clone: false SubsystemName: KRA server.example.com 8443
