第 12 章 配置密钥恢复授权
本章论述了使用密钥恢复授权机构(KRA)恢复密钥。
12.1. 手动设置密钥归档 复制链接链接已复制到粘贴板!
如果 CA 和 KRA 位于同一安全域中,则不需要这个过程。只有安全域 以外的 CA 才需要这个过程。
手动配置关键归档需要两方面:
- CA 和 KRA 之间具有可信关系。
- 为密钥存档启用了注册表单,这意味着它配置了密钥存档,并以表单的形式存储 KRA 传输证书。
在同一安全域中,在配置 KRA 时会 自动执行 这两个配置步骤,因为它被配置为与其安全域中的任何 CA 具有可信关系。可以通过手动配置信任关系和配置文件注册表单来创建与安全域之外的证书管理器的可信关系。
如有必要,创建一个可信管理器,以在证书管理器和 KRA 之间建立关系。
要使 CA 能够请求 KRA 的密钥存档,必须将两个子系统配置为识别、信任和相互通信。在 KRA 的内部数据库中,验证证书管理器是否已设置为具有适当的 TLS mutual 身份验证证书的特权用户。默认情况下,证书管理器将其子系统证书用于对 KRA 的 TLS mutual 身份验证。
为 KRA 复制 base-64 编码的传输证书。
-
传输证书存储在 KRA 的证书数据库中,该数据库可以使用
certutil
实用程序来检索。如果传输证书由证书管理器签名,则证书的副本可以通过 Retrieval 选项卡中的 Certificate Manager end-entities 页面获得。 或者,使用
pki
工具下载传输证书:使用
pki ca-cert-find
命令和 KRA 传输证书的主题通用名称列出证书。例如:pki -p <Security Domain Port> -d <nss_db> -w <password> ca-cert-find --name "DRM Transport Certificate"
# pki -p <Security Domain Port> -d <nss_db> -w <password> ca-cert-find --name "DRM Transport Certificate"
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 显示证书的详情并将其保存为
.pem
文件:pki ca-cert-show <serial_number> --output transport.pem
# pki ca-cert-show <serial_number> --output transport.pem
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意如需有关
pki
命令选项的更多信息,请运行pki --help
命令。
-
传输证书存储在 KRA 的证书数据库中,该数据库可以使用
将传输证书添加到 CA 的
CS.cfg
文件中。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 然后,编辑注册表单,并在
keyTransportCert
方法中添加或替换传输证书值。vim /var/lib/pki/pki-tomcat/ca/webapps/ca/ee/ca/ProfileSelect.template
# vim /var/lib/pki/pki-tomcat/ca/webapps/ca/ee/ca/ProfileSelect.template var keyTransportCert = MIIDbDCCAlSgAwIBAgIBDDANBgkqhkiG9w0BAQUFADA6MRgwFgYDVQQKEw9Eb21haW4gc28gbmFtZWQxHjAcBgNVBAMTFUNlcnRpZmljYXRlIEF1dGhvcml0eTAeFw0wNjExMTQxODI2NDdaFw0wODEwMTQxNzQwNThaMD4xGDAWBgNVBAoTD0RvbWFpbiBzbyBuYW1lZDEiMCAGA1UEAxMZRFJNIFRyYW5zcG9ydCBDZXJ0aWZpY2F0ZTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKnMGB3WkznueouwZjrWLFZBLpKt6TimNKV9iz5s0zrGUlpdt81/BTsU5A2sRUwNfoZSMs/d5KLuXOHPyGtmC6yVvaY719hr9EGYuv0Sw6jb3WnEKHpjbUO/vhFwTufJHWKXFN3V4pMbHTkqW/x5fu/3QyyUre/5IhG0fcEmfvYxIyvZUJx+aQBW437ATD99Kuh+I+FuYdW+SqYHznHY8BqOdJwJ1JiJMNceXYAuAdk+9t70RztfAhBmkK0OOP0vH5BZ7RCwE3Y/6ycUdSyPZGGc76a0HrKOz+lwVFulFStiuZIaG1pv0NNivzcj0hEYq6AfJ3hgxcC1h87LmCxgRWUCAwEAAaN5MHcwHwYDVR0jBBgwFoAURShCYtSg+Oh4rrgmLFB/Fg7X3qcwRAYIKwYBBQUHAQEEODA2MDQGCCsGAQUFBzABhihodHRwOi8vY2x5ZGUucmR1LnJlZGhhdC5jb206OTE4MC9jYS9vY3NwMA4GA1UdDwEB/wQEAwIE8DANBgkqhkiG9w0BAQUFAAOCAQEAFYz5ibujdIXgnJCbHSPWdKG0T+FmR67YqiOtoNlGyIgJ42fi5lsDPfCbIAe3YFqmF3wU472h8LDLGyBjy9RJxBj+aCizwHkuoH26KmPGntIayqWDH/UGsIL0mvTSOeLqI3KM0IuH7bxGXjlION83xWbxumW/kVLbT9RCbL4216tqq5jsjfOHNNvUdFhWyYdfEOjpp/UQZOhOM1d8GFiw8N8ClWBGc3mdlADQp6tviodXueluZ7UxJLNx3HXKFYLleewwIFhC82zqeQ1PbxQDL8QLjzca+IUzq6Cd/t7OAgvv3YmpXgNR0/xoWQGdM1/YwHxtcAcVlskXJw5ZR0Y2zA==;
Copy to Clipboard Copied! Toggle word wrap Toggle overflow