2.3. 图形界面
Certificate System 控制台 pkiconsole 是一个图形界面,专为具有 Administrator 角色权限的用户设计,用于管理子系统本身。这包括添加用户、配置日志、管理配置文件和插件以及内部数据库,以及许多其他功能。此实用程序使用客户端-身份验证通过 TLS 与证书系统服务器通信,并可用于远程管理服务器。
pkiconsole 已被弃用,并将在以后的主发行版本中被新的基于浏览器的 UI 替代。虽然 pkiconsole 在发布替代 UI 之前继续可用,但我们鼓励在此鼓励使用命令行与 pkiconsole 等效,因为 pki CLI 将继续支持并在将来有新的基于浏览器的 UI 时受到改进。
2.3.1. 初始化 pkiconsole
要首次使用
pkiconsole接口,请指定新密码并使用以下命令:$ pki -c password -d ~/.redhat-idm-console client-init此命令在
~/.redhat-idm-console/目录中创建新客户端 NSS 数据库。- 要将 CA 证书导入到 PKI 客户端 NSS 数据库中,请参阅 规划、安装和部署指南(Common criteria Edition) 中的 10.5 将 证书导入到 NSS 数据库中。
- 要请求新的客户端证书,请参阅 第 5 章 请求、注册和管理证书。
执行以下命令,从
.p12文件提取 admin 客户端证书:$ openssl pkcs12 -in file -clcerts -nodes -nokeys -out file.crt验证并导入 admin 客户端证书,如 规划、安装和部署指南(Common criteria Edition)中的 10 章管理证书/ 密钥加密策略 中所述:
$ PKICertImport -d ~/.redhat-idm-console -n "nickname" -t ",," -a -i file.crt -u C
在导入 CA admin 客户端证书前,请确保已导入所有中间证书和 root CA 证书。
将现有的客户端证书及其密钥导入到客户端 NSS 数据库中:
$ pki -c password -d ~/.redhat-idm-console pkcs12-import --pkcs12-file file --pkcs12-password pkcs12-password使用以下命令验证客户端证书:
$ certutil -V -u C -n "nickname" -d ~/.redhat-idm-console
2.3.2. 将 pkiconsole 用于 CA、OCSP、KRA 和 TKS 子系统
Java 控制台由四个子系统使用:CA、OCSP、KRA 和 TKS。使用本地安装的 pkiconsole 实用程序访问控制台。它可以访问任何子系统,因为 命令需要主机名、子系统的管理 TLS 端口和特定的子系统类型。
# pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:admin_port/subsystem_type如果没有配置 DNS,您可以使用 IPv4 或 IPv6 地址连接到控制台。例如:
https://192.0.2.1:8443/ca https://[2001:DB8::1111]:8443/ca
这会打开一个控制台,如下图所示:
图 2.1. 证书系统控制台
Configuration 选项卡控制子系统的所有设置,因为名称表示。此选项卡中的选择取决于实例的子系统类型;CA 具有大多数选项,因为它有作业、通知和证书注册身份验证的额外配置。
所有子系统都有四个基本选项:
- 用户和组
- 访问控制列表
- 日志配置
- 子系统证书(声明发布到子系统的证书以供使用,例如在安全域或审计签名中)
