红帽全球峰会6.5. 安装 Red Hat Directory Server
证书系统使用红帽目录服务器来存储系统证书和用户数据。您可以在网络中的相同或任何其他主机上安装目录服务器和证书系统。
重要
在安装 Directory 服务器前,必须在 RHEL 主机上启用 FIPS 模式。确保启用了 FIPS 模式:
# sysctl crypto.fips_enabled
如果返回的值是 1,则启用 FIPS 模式。
6.5.1. 为证书系统准备目录服务器实例
执行以下步骤安装 Red Hat Directory Server:
- 确保您已附加了一个向主机提供目录服务器的订阅。
- 启用 Directory Server 存储库:
#subscription-manager repos --enable=dirsrv-11-for-rhel-8-x86_64-rpms - 安装 Directory 服务器和 openldap-clients 软件包:
#dnf module install redhat-ds#dnf install openldap-clients - 设置 Directory 服务器实例。
- 生成 DS 配置文件,例如
/tmp/ds-setup.inf:$dscreate create-template /tmp/ds-setup.inf - 自定义 DS 配置文件,如下所示:
$ sed -i \ -e "s/;instance_name = .*/instance_name = localhost/g" \ -e "s/;root_password = .*/root_password = Secret.123/g" \ -e "s/;suffix = .*/suffix = dc=example,dc=com/g" \ -e "s/;create_suffix_entry = .*/create_suffix_entry = True/g" \ -e "s/;self_sign_cert = .*/self_sign_cert = False/g" \ /tmp/ds-setup.inf
- 使用带有
设置配置文件的 dscreate 命令创建实例:#dscreate from-file /tmp/ds-setup.inf
具体步骤请查看 红帽目录服务器安装指南。
6.5.2. 准备配置证书系统
在 第 7.3 节 “了解 pkispawn 实用程序” 中,如果您选择在证书系统和目录服务器之间设置 TLS,请在安装证书系统时使用您传递给
pkispawn 工具的配置文件中的以下参数:
注意
我们需要首先创建基本的 TLS 服务器身份验证连接。最后,在在安装后,我们将返回并建立连接,要求向目录服务器呈现客户端身份验证证书。此时,一旦设置了客户端身份验证,
pki_ds_password 不再相关。
pki_ds_database=back_end_database_name pki_ds_hostname=host_name pki_ds_secure_connection=True pki_ds_secure_connection_ca_pem_file=path_to_CA_or_self-signed_certificate pki_ds_password=password pki_ds_ldaps_port=port pki_ds_bind_dn=cn=Directory Manager
pki_ds_database 参数的值是 pkispawn 实用程序使用的名称,用于在 Directory Server 实例上创建对应的子系统数据库。
pki_ds_hostname 参数的值取决于目录服务器实例的安装位置。这取决于 第 6.5.1 节 “为证书系统准备目录服务器实例” 中使用的值。
当您设置 pki_ds_secure_connection=True 时,必须设置以下参数:
pki_ds_secure_connection_ca_pem_file:设置完全限定路径,包括包含目录服务器 CA 证书的导出副本的文件名称。在pkispawn能够使用该文件之前,该文件必须已存在。pki_ds_ldaps_port:设置安全 LDAPS 端口目录服务器的值。默认值为 636。
