9.2. 克隆 CA

配置主 CA 并备份密钥。
在 master CA 的 CS.cfg 文件中，通过添加 ca.listenToCloneModifications 参数来启用 master CA 来监控复制数据库更改：
```
ca.listenToCloneModifications=true
```
创建 clone 子系统实例。
有关克隆 CA 子系统时 pkispawn 所需的配置文件示例，请参阅 在 pkispawn (8) man page 的同一主机部分安装 CA 克隆。
重启克隆所使用的 Directory 服务器实例。
```
# systemctl restart pki-tomcatd@kra-clone-ds-instance.service
```
注意
重启 Directory 服务器会重新加载更新的模式，这是正确性能所必需的。
重启克隆实例。
```
# pki-server restart instance_name
```

配置克隆后，测试以确保 master-clone 关系可以正常工作：

从克隆的 CA 请求证书。
批准请求。
将证书下载到浏览器。
吊销证书。
检查 master CA 的 CRL 中的已撤销的证书。在 master Certificate Manager 的代理服务页面中，单击 Update Certificate Revocation List。在列表中找到 CRL。
CRL 应该显示克隆的证书管理器撤销的证书。如果没有列出该证书，请检查日志来解决这个问题。