Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 7 章 安装和配置 Red Hat Certificate System

Red Hat Certificate System 提供了不同的子系统,可单独安装。例如,您可以在单一服务器上安装多个子系统实例,也可以在不同的主机上运行它们。这可让您将安装适应您的环境,以提供更高的可用性、可扩展性和故障切换支持。

在通用标准评估环境中,证书系统包括以下子系统:

  • 证书颁发机构(CA)
  • 密钥恢复授权中心 (KRA)
  • 在线证书状态协议(OCSP)恢复器
  • 令牌密钥服务(TKS)
  • 令牌处理系统(TPS)
注意

TKS 和 TPS 仅适用于 TMS (令牌管理系统)。

每个子系统都作为独立的 Tomcat web 服务器实例单独安装和配置。

重要

设置各个子系统的顺序非常重要,因为不同子系统之间的关系:

  1. 在可以安装任何其他公钥基础架构(PKI)子系统之前,至少需要以安全域运行的一个 CA。
  2. 配置 CA 后安装 OCSP。
  3. 配置 CA 和 OCSP 后,可以按照任何顺序安装 KRA 和 TKS 子系统。
  4. TPS 子系统依赖于 CA 和 TKS,以及可选的 KRA 和 OCSP 子系统。
注意

对于非TMS 设置,您可以安装 CA、OCSP 和 KRA 子系统,而在 TMS 设置中,您可以安装 CA、OCSP、KRA、TKS 和 TPS。

注意

通常,将密码存储在经过充分保护的文件,而不是在命令行中输入密码更为安全。但是,为了便于演示,本例安装过程可以将密码指定为命令行参数。

注意

请注意,在安装过程中,在系统启动并运行之前,您会看到我们指示读者通过直接编辑文件来配置系统。但是,为了进行审计,在安装了 PKI 实例后,PKI 管理员应当使用适当的 CLI (如适用时所示)或 pkiconsole (已弃用)来配置 PKI 实例。
在下面的示例中,您将看到这两种方法的组合。在某些情况下会显示 CLI 示例,以帮助读者熟悉它们,然后再在安装后使用它们。

7.1. 准备 pkispawn 设置
复制链接

以下小节描述了在 RHEL 8.6 操作系统上准备 RSA 通用标准设置。

7.1.1. 创建操作系统用户和组
复制链接

安装 Red Hat Certificate System 时,pkiuser 帐户和对应的 pkiuser 组会被自动创建。证书系统使用此帐户和组来启动服务。

这部分论述了在托管 RHCS 系统的操作系统上创建用户和组;本例中为 rhcs10.example.com

pkiadmin 是 OS 级别的组,它允许此组中的用户有权访问 PKI 文件。这个组应该包含以下用户:

  • pkiuser,这是在安装时拥有 PKI 文件的默认用户,并在安装时运行 PKI 进程。
  • 属于"管理员"一组 PKI/CS 实例的成员。它们被分配有 pkiadmin OS 成员资格,因为它们需要同时访问某些 PKI 配置文件。作为安装后流程的一部分,稍后您将指示您为每个应能够启动和停止或直接配置操作系统实例的证书系统管理员创建 OS 用户。详情请查看 第 7.13 节 “安装后”

AgentsAuditor 等其他 PKI 角色无法直接访问 OS 文件系统上的 PKI/CS 文件,因此仅通过 PKI/CS 实例识别和验证。

在本例中,将创建三个操作系统用户来提供三个不同的 PKI 角色:

  • jgenie (Jane Genie):这个非 root 用户属于 OS 上的 pkiadmin 管理员组,以及 PKI Administrators 组。
  • jsmith (John Smith):操作系统上的非 root 常规用户,但属于 PKI Agents 组。
  • aguru (Astrid Guru):一个操作系统上的非 root 常规用户,但属于 PKI 审核员 组。

流程

  1. 创建 OS 管理员组(如 pkiadmin): 

    # /usr/sbin/groupadd -r pkiadmin
    Copy to Clipboard Toggle word wrap

  2. 创建 OS 用户:

    1. 创建属于 OS 组 pkiadmin 的操作系统用户(例如 Jane Genie - jgenie)。在我们的示例中,该人员将充当 PKI Administrator 用户: 

      # /usr/sbin/useradd -g pkiadmin -d /home/jgenie -s /bin/bash -c "Red Hat Certificate System Administrator Jane Genie" -m jgenie
      Copy to Clipboard Toggle word wrap

    2. 创建一个 OS 用户(如 John Smith - jsmith)。在我们的示例中,这个人将充当 PKI 代理 用户: 

      # /usr/sbin/useradd -c "Red Hat Certificate System Agent John Smith" -m jsmith
      Copy to Clipboard Toggle word wrap

    3. 创建 OS 用户(例如,Astrid Guru - aguru)。在我们的示例中,这个人将充当 PKI Auditor 用户: 

      # /usr/sbin/useradd -c "Red Hat Certificate System Auditor Astrid Guru" -m aguru
      Copy to Clipboard Toggle word wrap

  3. pkiuserpkiadminnfast 组关联: 

    # /usr/sbin/usermod -a -G pkiadmin pkiuser
    Copy to Clipboard Toggle word wrap 
    # /usr/sbin/usermod -a -G nfast pkiuser
    Copy to Clipboard Toggle word wrap
    注意

    如果使用 Thales Luna HSM,请将 pkiuserhsmusers 组(而不是 nfast)关联: 

    # /usr/sbin/usermod -a -G hsmusers pkiuser
    Copy to Clipboard Toggle word wrap

    有关 Luna 限制的更多信息,请参阅 第 4.4 节 “支持的硬件安全模块”

  4. 由于本示例中的测试使用 Entrust HSM,因此请将要管理 HSM 设备的用户与 nfast 组关联: 

    # /usr/sbin/usermod -a -G nfast jgenie
    Copy to Clipboard Toggle word wrap
    注意

    同样,如果使用 Thales Luna HSM,请将要管理 HSM 设备的用户与 hsmusers 组(而不是 nfast)关联。例如: 

    # /usr/sbin/usermod -a -G hsmusers jgenie
    Copy to Clipboard Toggle word wrap

    有关 Luna 限制的更多信息,请参阅 第 4.4 节 “支持的硬件安全模块”

验证:

  • 列出 pkiuserjgenie 属于的组: 

    # groups pkiuser jgenie

pkiuser : pkiuser nfast pkiadmin

jgenie : pkiadmin nfast
    Copy to Clipboard Toggle word wrap
注意

在后续阶段,一旦完成 SubCA 安装,将指示如何单独为这些 PKI 角色用户发布用户证书,以便他们执行其特权功能。

7.1.2. 安装和配置 DS 实例
复制链接

在第二个计算机上安装和配置 DS 实例,如 rhds11.example.com。对于我们的示例,我们创建以下实例:

  • CC-RSA-RootCA-LDAP: RootCA 实例的内部数据库
  • CC-RSA-OCSP-rootca-LDAP: RootCA 的 OCSP 实例的内部数据库(可选:请参阅 第 7.1.2.2 节 “为 RootCA 的 OCSP 安装 DS 实例”
  • CC-RSA-SubCA-LDAP: SubCA 的内部数据库
  • CC-RSA-OCSP-subca-LDAP: SubCA 的 OCSP 实例的内部数据库
  • CC-RSA-KRA-LDAP: KRA 的内部数据库
  • CC-RSA-TKS-LDAP :如果 TMS 值得关注,则此实例将充当内部数据库和 TKS 的身份验证数据库
  • CC-RSA-TPS-LDAP :如果 TMS 值得关注,则此实例将充当内部数据库和 TPS 的身份验证数据库
重要

在继续操作前,请确保遵循 第 6 章 安装的先决条件

7.1.2.1. 为 RootCA 安装 DS 实例
复制链接

DS 实例 CC-RSA-RootCA-LDAP 将托管 RootCA 的内部数据库。它分别侦听标准 LDAP/LDAPS 端口 389 和 636。

本例中使用的端口号列在 第 6.8 节 “在防火墙和 SELinux 上下文中添加端口” 下。

rhds11.example.com 上:

  1. 在所选位置(如 /root/pki_rsa)创建 RootCA 目录服务器安装文件: 

    # vim /root/pki_rsa/rootca-ldap.cfg

[general]
full_machine_name = rhds11.example.com

[slapd]
port = 389
secure_port = 636
instance_name = CC-RSA-RootCA-LDAP
root_password = SECret.123
self_sign_cert = True

[backend-userroot]
create_suffix_entry = True
suffix = dc=example,dc=com
    Copy to Clipboard Toggle word wrap
    重要

    请确定您在 full_machine_name 中指定托管 Directory Server 实例的机器的 FQDN (请参阅 第 6.3 节 “设置 FQDN”),并且 后缀 匹配。

  2. 可选 : 要查看其他配置选项以备将来参考,您可以使用 dscreate create-template 命令创建模板文件: 

    # dscreate create-template /root/pki_rsa/ldap-template.cfg
    Copy to Clipboard Toggle word wrap

  3. 使用 .cfg 文件设置目录服务器实例: 

    # dscreate from-file /root/pki_rsa/rootca-ldap.cfg

Starting installation...

Completed installation for CC-RSA-RootCA-LDAP
    Copy to Clipboard Toggle word wrap
注意

默认情况下,对于每个新的目录服务器实例,带有 nickname "Server-Cert" is created 用于临时使用的 bootstrap SSL 服务器证书。它由 bootstrap 自签名 CA 证书发布,其别名为 "Self-Signed-CA"。

/etc/dirsrv/slapd-CC-RSA-RootCA-LDAP/dse.ldif 文件具有 nsslapd-security: onnsSSLPersonalitySSL: Server-Cert

验证:

  1. 列出 bootstrap 证书进行验证: 

    # certutil -L -d /etc/dirsrv/slapd-CC-RSA-RootCA-LDAP/

Certificate Nickname                            Trust Attributes
                                                SSL,S/MIME,JAR/XPI
Self-Signed-CA                                  CT,,
Server-Cert                                     u,u,u
    Copy to Clipboard Toggle word wrap

  2. 导出证书: 

    # certutil -L -d /etc/dirsrv/slapd-CC-RSA-RootCA-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-rootca-cert.pem
    Copy to Clipboard Toggle word wrap

  3. 将证书复制到 rhcs10.example.com

    # scp /opt/pki_rsa/temp-dirsrv-rootca-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-rootca-cert.pem
    Copy to Clipboard Toggle word wrap

  4. 测试目录服务器计算机的 LDAP 服务器设置,例如,在 rhds11.example.com 上运行以下命令: 

    # LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-rootca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:636 -b "dc=example,dc=com" -w SECret.123
    Copy to Clipboard Toggle word wrap

  5. 测试证书系统机器的 LDAP 服务器设置,例如,在 rhcs10.example.com 上运行以下命令: 

    # LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-rootca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:636 -b "dc=example,dc=com" -w SECret.123
    Copy to Clipboard Toggle word wrap

    LDAP 搜索应该成功,例如: 

    # extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example
description: dc=example,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
    Copy to Clipboard Toggle word wrap

7.1.2.2. 为 RootCA 的 OCSP 安装 DS 实例
复制链接

注意

通常,不建议执行日常证书颁发的根 CA。因此,不需要 root CA 的 OCSP。在以下示例中,仅针对演示目的提供了 RootCA 的 OCSP。

DS 实例 CC-RSA-OCSP-rootca-LDAP 将托管 RootCA 的 OCSP 的内部数据库。它分别侦听标准 LDAP/LDAPS 端口 6389 和 6636。

本例中使用的端口号列在 第 6.8 节 “在防火墙和 SELinux 上下文中添加端口” 下。

rhds11.example.com 上:

  1. 在所选位置(例如 /root/pki_rsa)创建 RootCA 的 OCSP 目录服务器安装文件: 

    # vim /root/pki_rsa/ocsp-rootca-ldap.cfg

[general]
full_machine_name = rhds11.example.com

[slapd]
port = 6389
secure_port = 6636
instance_name = CC-RSA-OCSP-rootca-LDAP
root_password = SECret.123
self_sign_cert = True

[backend-userroot]
create_suffix_entry = True
suffix = dc=example,dc=com
    Copy to Clipboard Toggle word wrap
    重要

    请确定您在 full_machine_name 中指定托管 Directory Server 实例的机器的 FQDN (请参阅 第 6.3 节 “设置 FQDN”),并且 后缀 匹配。

  2. 使用 .cfg 文件设置目录服务器实例: 

    # dscreate from-file /root/pki_rsa/ocsp-rootca-ldap.cfg

Starting installation...

Completed installation for CC-RSA-OCSP-rootca-LDAP
    Copy to Clipboard Toggle word wrap
注意

默认情况下,对于每个新的目录服务器实例,带有 nickname "Server-Cert" is created 用于临时使用的 bootstrap SSL 服务器证书。它由 bootstrap 自签名 CA 证书发布,其别名为 "Self-Signed-CA"。

/etc/dirsrv/slapd-CC-RSA-OCSP-rootca-LDAP/dse.ldif 文件具有 nsslapd-security: onnsSSLPersonalitySSL: Server-Cert

验证:

  1. 列出 bootstrap 证书进行验证: 

    # certutil -L -d /etc/dirsrv/slapd-CC-RSA-OCSP-rootca-LDAP/

Certificate Nickname                            Trust Attributes
                                                SSL,S/MIME,JAR/XPI
Self-Signed-CA                                  CT,,
Server-Cert                                     u,u,u
    Copy to Clipboard Toggle word wrap

  2. 导出证书: 

    # certutil -L -d /etc/dirsrv/slapd-CC-RSA-OCSP-rootca-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-ocsp-rootca-cert.pem
    Copy to Clipboard Toggle word wrap

  3. 将证书复制到 rhcs10.example.com

    # scp /opt/pki_rsa/temp-dirsrv-ocsp-rootca-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-ocsp-rootca-cert.pem
    Copy to Clipboard Toggle word wrap

  4. 测试目录服务器计算机的 LDAP 服务器设置,例如,在 rhds11.example.com 上运行以下命令: 

    # LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-ocsp-rootca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:6636 -b "dc=example,dc=com" -w SECret.123
    Copy to Clipboard Toggle word wrap

  5. 测试证书系统机器的 LDAP 服务器设置,例如,在 rhcs10.example.com 上运行以下命令: 

    # LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-ocsp-rootca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:6636 -b "dc=example,dc=com" -w SECret.123
    Copy to Clipboard Toggle word wrap

    LDAP 搜索应该成功,例如: 

    # extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example
description: dc=example,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
    Copy to Clipboard Toggle word wrap

7.1.2.3. 为 SubCA 安装 DS 实例
复制链接

DS 实例 CC-RSA-SubCA-LDAP 将托管 SubCA 的内部数据库。它分别侦听 LDAP/LDAPS 端口 7389 和 7636。

本例中使用的端口号列在 第 6.8 节 “在防火墙和 SELinux 上下文中添加端口” 下。

rhds11.example.com 上:

  1. 在所选位置(如 /root/pki_rsa)创建 SubCA 目录服务器安装文件: 

    # vim /root/pki_rsa/subca-ldap.cfg

[general]
full_machine_name = rhds11.example.com

[slapd]
port = 7389
secure_port = 7636
instance_name = CC-RSA-SubCA-LDAP
root_password = SECret.123
self_sign_cert = True

[backend-userroot]
create_suffix_entry = True
suffix = dc=example,dc=com
    Copy to Clipboard Toggle word wrap
    重要

    请确定您在 full_machine_name 中指定托管 Directory Server 实例的机器的 FQDN (请参阅 第 6.3 节 “设置 FQDN”),并且 后缀 匹配。

  2. 使用 .cfg 文件设置目录服务器实例: 

    # dscreate from-file /root/pki_rsa/subca-ldap.cfg

Starting installation...

Completed installation for CC-RSA-SubCA-LDAP
    Copy to Clipboard Toggle word wrap
注意

默认情况下,对于每个新的目录服务器实例,带有 nickname "Server-Cert" is created 用于临时使用的 bootstrap SSL 服务器证书。它由 bootstrap 自签名 CA 证书发布,其别名为 "Self-Signed-CA"。

/etc/dirsrv/slapd-CC-RSA-SubCA-LDAP/dse.ldif 文件具有 nsslapd-security: onnsSSLPersonalitySSL: Server-Cert

验证:

  1. 列出 bootstrap 证书进行验证: 

    # certutil -L -d /etc/dirsrv/slapd-CC-RSA-SubCA-LDAP/

Certificate Nickname                            Trust Attributes
                                                SSL,S/MIME,JAR/XPI
Self-Signed-CA                                  CT,,
Server-Cert                                     u,u,u
    Copy to Clipboard Toggle word wrap

  2. 导出证书: 

    # certutil -L -d /etc/dirsrv/slapd-CC-RSA-SubCA-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-subca-cert.pem
    Copy to Clipboard Toggle word wrap

  3. 将证书复制到 rhcs10.example.com

    # scp /opt/pki_rsa/temp-dirsrv-subca-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-subca-cert.pem
    Copy to Clipboard Toggle word wrap

  4. 测试目录服务器计算机的 LDAP 服务器设置,例如,在 rhds11.example.com 上运行以下命令: 

    # LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-subca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:7636 -b "dc=example,dc=com" -w SECret.123
    Copy to Clipboard Toggle word wrap

  5. 测试证书系统机器的 LDAP 服务器设置,例如,在 rhcs10.example.com 上运行以下命令: 

    # LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-subca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:7636 -b "dc=example,dc=com" -w SECret.123
    Copy to Clipboard Toggle word wrap

    LDAP 搜索应该成功,例如: 

    # extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example
description: dc=example,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
    Copy to Clipboard Toggle word wrap

7.1.2.4. 为 SubCA 的 OCSP 安装 DS 实例
复制链接

DS 实例 CC-RSA-OCSP-subca-LDAP 将托管 SubCA 的 OCSP 的内部数据库。它分别侦听 LDAP/LDAPS 端口 11389 和 11636。

本例中使用的端口号列在 第 6.8 节 “在防火墙和 SELinux 上下文中添加端口” 下。

rhds11.example.com 上:

  1. 在所选位置(如 /root/pki_rsa)创建 SubCA 的 OCSP 目录服务器安装文件: 

    # vim /root/pki_rsa/ocsp-subca-ldap.cfg

[general]
full_machine_name = rhds11.example.com

[slapd]
port = 11389
secure_port = 11636
instance_name = CC-RSA-OCSP-subca-LDAP
root_password = SECret.123
self_sign_cert = True

[backend-userroot]
create_suffix_entry = True
suffix = dc=example,dc=com
    Copy to Clipboard Toggle word wrap
    重要

    请确定您在 full_machine_name 中指定托管 Directory Server 实例的机器的 FQDN (请参阅 第 6.3 节 “设置 FQDN”),并且 后缀 匹配。

  2. 使用 .cfg 文件设置目录服务器实例: 

    # dscreate from-file /root/pki_rsa/ocsp-subca-ldap.cfg

Starting installation...

Completed installation for CC-RSA-OCSP-subca-LDAP
    Copy to Clipboard Toggle word wrap
注意

默认情况下,对于每个新的目录服务器实例,带有 nickname "Server-Cert" is created 用于临时使用的 bootstrap SSL 服务器证书。它由 bootstrap 自签名 CA 证书发布,其别名为 "Self-Signed-CA"。

/etc/dirsrv/slapd-CC-RSA-OCSP-subca-LDAP/dse.ldif 文件有 nsslapd-security: onnsSSLPersonalitySSL: Server-Cert

验证:

  1. 列出 bootstrap 证书进行验证: 

    # certutil -L -d /etc/dirsrv/slapd-CC-RSA-OCSP-subca-LDAP/

Certificate Nickname                            Trust Attributes
                                                SSL,S/MIME,JAR/XPI
Self-Signed-CA                                  CT,,
Server-Cert                                     u,u,u
    Copy to Clipboard Toggle word wrap

  2. 导出证书: 

    # certutil -L -d /etc/dirsrv/slapd-CC-RSA-OCSP-subca-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-ocsp-subca-cert.pem
    Copy to Clipboard Toggle word wrap

  3. 将证书复制到 rhcs10.example.com

    # scp /opt/pki_rsa/temp-dirsrv-ocsp-subca-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-ocsp-subca-cert.pem
    Copy to Clipboard Toggle word wrap

  4. 测试目录服务器计算机的 LDAP 服务器设置,例如,在 rhds11.example.com 上运行以下命令: 

    # LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-ocsp-subca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:11636 -b "dc=example,dc=com" -w SECret.123
    Copy to Clipboard Toggle word wrap

  5. 测试证书系统机器的 LDAP 服务器设置,例如,在 rhcs10.example.com 上运行以下命令: 

    # LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-ocsp-subca-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:11636 -b "dc=example,dc=com" -w SECret.123
    Copy to Clipboard Toggle word wrap

    LDAP 搜索应该成功,例如: 

    # extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example
description: dc=example,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
    Copy to Clipboard Toggle word wrap

7.1.2.5. 为 KRA 安装 DS 实例
复制链接

DS 实例 CC-RSA-KRA-LDAP 将托管 KRA 的内部数据库。它分别侦听 LDAP/LDAPS 端口、22389 和 22636。

本例中使用的端口号列在 第 6.8 节 “在防火墙和 SELinux 上下文中添加端口” 下。

rhds11.example.com 上:

  1. 在所选位置(如 /root/pki_rsa)创建 KRA 目录服务器安装文件: 

    # vim /root/pki_rsa/kra-ldap.cfg

[general]
full_machine_name = rhds11.example.com

[slapd]
port = 22389
secure_port = 22636
instance_name = CC-RSA-KRA-LDAP
root_password = SECret.123
self_sign_cert = True

[backend-userroot]
create_suffix_entry = True
suffix = dc=example,dc=com
    Copy to Clipboard Toggle word wrap
    重要

    请确定您在 full_machine_name 中指定托管 Directory Server 实例的机器的 FQDN (请参阅 第 6.3 节 “设置 FQDN”),并且 后缀 匹配。

  2. 使用 .cfg 文件设置目录服务器实例: 

    # dscreate from-file /root/pki_rsa/kra-ldap.cfg

Starting installation...

Completed installation for CC-RSA-KRA-LDAP
    Copy to Clipboard Toggle word wrap
注意

默认情况下,对于每个新的目录服务器实例,带有 nickname "Server-Cert" is created 用于临时使用的 bootstrap SSL 服务器证书。它由 bootstrap 自签名 CA 证书发布,其别名为 "Self-Signed-CA"。

/etc/dirsrv/slapd-CC-RSA-KRA-LDAP/dse.ldif 文件有 nsslapd-security: onnsSSLPersonalitySSL: Server-Cert

验证:

  1. 列出 bootstrap 证书进行验证: 

    # certutil -L -d /etc/dirsrv/slapd-CC-RSA-KRA-LDAP/

Certificate Nickname                            Trust Attributes
                                                SSL,S/MIME,JAR/XPI
Self-Signed-CA                                  CT,,
Server-Cert                                     u,u,u
    Copy to Clipboard Toggle word wrap

  2. 导出证书: 

    # certutil -L -d /etc/dirsrv/slapd-CC-RSA-KRA-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-kra-cert.pem
    Copy to Clipboard Toggle word wrap

  3. 将证书复制到 rhcs10.example.com

    # scp /opt/pki_rsa/temp-dirsrv-kra-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-kra-cert.pem
    Copy to Clipboard Toggle word wrap

  4. 测试目录服务器计算机的 LDAP 服务器设置,例如,在 rhds11.example.com 上运行以下命令: 

    # LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-kra-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:22636 -b "dc=example,dc=com" -w SECret.123
    Copy to Clipboard Toggle word wrap

  5. 测试证书系统机器的 LDAP 服务器设置,例如,在 rhcs10.example.com 上运行以下命令: 

    # LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-kra-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:22636 -b "dc=example,dc=com" -w SECret.123
    Copy to Clipboard Toggle word wrap

    LDAP 搜索应该成功,例如: 

    # extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example
description: dc=example,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
    Copy to Clipboard Toggle word wrap

7.1.2.6. 为 TKS 安装 DS 实例
复制链接

如果 TMS 值得关注,请在 rhds11.example.com 上安装和配置 DS 实例,以托管 TKS 内部数据库。红帽目录服务器分别侦听 LDAP/LDAPS 端口、16389 和 16636。

注意

请注意,ECC 不支持 TMS。

rhds11.example.com 上:

  1. 在所选位置(如 /root/pki_rsa)创建 TKS 目录服务器安装文件: 

    # vim /root/pki_rsa/tks-ldap.cfg

[general]
full_machine_name = rhds11.example.com

[slapd]
port = 16389
secure_port = 16636
instance_name = CC-RSA-TKS-LDAP
root_password = SECret.123
self_sign_cert = True

[backend-userroot]
create_suffix_entry = True
suffix = dc=example,dc=com
    Copy to Clipboard Toggle word wrap
    重要

    请确定您在 full_machine_name 中指定托管 Directory Server 实例的机器的 FQDN (请参阅 第 6.3 节 “设置 FQDN”),并且 后缀 匹配。

  2. 使用 .cfg 文件设置目录服务器实例: 

    # dscreate from-file /root/pki_rsa/tks-ldap.cfg

Starting installation...

Completed installation for CC-RSA-TKS-LDAP
    Copy to Clipboard Toggle word wrap
注意

默认情况下,对于每个新的目录服务器实例,带有 nickname "Server-Cert" is created 用于临时使用的 bootstrap SSL 服务器证书。它由 bootstrap 自签名 CA 证书发布,其别名为 "Self-Signed-CA"。

/etc/dirsrv/slapd-CC-RSA-TKS-LDAP/dse.ldif 文件具有 nsslapd-security: onnsSSLPersonalitySSL: Server-Cert

验证:

  1. 列出 bootstrap 证书进行验证: 

    # certutil -L -d /etc/dirsrv/slapd-CC-RSA-TKS-LDAP/

Certificate Nickname                            Trust Attributes
                                                SSL,S/MIME,JAR/XPI
Self-Signed-CA                                  CT,,
Server-Cert                                     u,u,u
    Copy to Clipboard Toggle word wrap

  2. 导出证书: 

    # certutil -L -d /etc/dirsrv/slapd-CC-RSA-TKS-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-tks-cert.pem
    Copy to Clipboard Toggle word wrap

  3. 将证书复制到 rhcs10.example.com

    # scp /opt/pki_rsa/temp-dirsrv-tks-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-tks-cert.pem
    Copy to Clipboard Toggle word wrap

  4. 测试目录服务器计算机的 LDAP 服务器设置,例如,在 rhds11.example.com 上运行以下命令: 

    # LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-tks-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:16636 -b "dc=example,dc=com" -w SECret.123
    Copy to Clipboard Toggle word wrap

  5. 测试证书系统机器的 LDAP 服务器设置,例如,在 rhcs10.example.com 上运行以下命令: 

    # LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-tks-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:16636 -b "dc=example,dc=com" -w SECret.123
    Copy to Clipboard Toggle word wrap

    LDAP 搜索应该成功,例如: 

    # extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example
description: dc=example,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
    Copy to Clipboard Toggle word wrap

7.1.2.7. 为 TPS 安装 DS 实例
复制链接

如果 TMS 值得关注,请在 rhds11.example.com 上安装和配置 DS 实例,以托管 TPS 内部数据库。红帽目录服务器分别侦听 LDAP/LDAPS 端口、17389 和 17636。

rhds11.example.com 上:

  1. 在所选位置(如 /root/pki_rsa)创建 TPS 目录服务器安装文件: 

    # vim /root/pki_rsa/tps-ldap.cfg

[general]
full_machine_name = rhds11.example.com

[slapd]
port = 17389
secure_port = 17636
instance_name = CC-RSA-TPS-LDAP
root_password = SECret.123
self_sign_cert = True

[backend-userroot]
create_suffix_entry = True
suffix = dc=example,dc=com
    Copy to Clipboard Toggle word wrap
    重要

    请确定您在 full_machine_name 中指定托管 Directory Server 实例的机器的 FQDN (请参阅 第 6.3 节 “设置 FQDN”),并且 后缀 匹配。

  2. 使用 .cfg 文件设置目录服务器实例: 

    # dscreate from-file /root/pki_rsa/tps-ldap.cfg

Starting installation...

Completed installation for CC-RSA-TPS-LDAP
    Copy to Clipboard Toggle word wrap
注意

默认情况下,对于每个新的目录服务器实例,带有 nickname "Server-Cert" is created 用于临时使用的 bootstrap SSL 服务器证书。它由 bootstrap 自签名 CA 证书发布,其别名为 "Self-Signed-CA"。

/etc/dirsrv/slapd-CC-RSA-TPS-LDAP/dse.ldif 文件具有 nsslapd-security: onnsSSLPersonalitySSL: Server-Cert

验证:

  1. 列出 bootstrap 证书进行验证: 

    # certutil -L -d /etc/dirsrv/slapd-CC-RSA-TPS-LDAP/

Certificate Nickname                            Trust Attributes
                                                SSL,S/MIME,JAR/XPI
Self-Signed-CA                                  CT,,
Server-Cert                                     u,u,u
    Copy to Clipboard Toggle word wrap

  2. 导出证书: 

    # certutil -L -d /etc/dirsrv/slapd-CC-RSA-TPS-LDAP/ -n "Self-Signed-CA" -a -o /opt/pki_rsa/temp-dirsrv-tps-cert.pem
    Copy to Clipboard Toggle word wrap

  3. 将证书复制到 rhcs10.example.com

    # scp /opt/pki_rsa/temp-dirsrv-tps-cert.pem root@rhcs10.example.com:/opt/pki_rsa/temp-dirsrv-tps-cert.pem
    Copy to Clipboard Toggle word wrap

  4. 测试目录服务器计算机的 LDAP 服务器设置,例如,在 rhds11.example.com 上运行以下命令: 

    # LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-tps-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:17636 -b "dc=example,dc=com" -w SECret.123
    Copy to Clipboard Toggle word wrap

  5. 测试证书系统机器的 LDAP 服务器设置,例如,在 rhcs10.example.com 上运行以下命令: 

    # LDAPTLS_CACERT=/opt/pki_rsa/temp-dirsrv-tps-cert.pem ldapsearch -x -D "cn=Directory Manager" -H ldaps://rhds11.example.com:17636 -b "dc=example,dc=com" -w SECret.123
    Copy to Clipboard Toggle word wrap

    LDAP 搜索应该成功,例如: 

    # extended LDIF
#
# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# example.com
dn: dc=example,dc=com
objectClass: top
objectClass: domain
dc: example
description: dc=example,dc=com

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
    Copy to Clipboard Toggle word wrap

本节可用于在安装证书系统前,用于有关 TLS 身份验证的一般信息。后续小节中将介绍包含完整示例安装文件的实际步骤。

第 7.1.2 节 “安装和配置 DS 实例” 中的示例指示您设置支持 TLS 验证的 LDAP 实例。以下解释了在安装证书系统时传递给 pkispawn 工具中的参数,以便 CS 和 DS 可以通过 TLS 进行通信。 

pki_ds_database=back_end_database_name
pki_ds_hostname=host_name
pki_ds_secure_connection=True
pki_ds_secure_connection_ca_pem_file=path_to_CA_or_self-signed_certificate
pki_ds_password=password
pki_ds_ldaps_port=port
pki_ds_bind_dn=cn=Directory Manager
Copy to Clipboard Toggle word wrap
  • pki_ds_database 参数的值是 pkispawn 实用程序在 Directory Server 实例中创建对应的子系统数据库使用的名称。
  • pki_ds_hostname 参数的值取决于目录服务器实例的安装位置。这取决于 第 7.1.2 节 “安装和配置 DS 实例” 中使用的值。

设置 pki_ds_secure_connection=True 时,您必须设置以下参数:

  • pki_ds_secure_connection_ca_pem_file: 设置包含目录服务器 CA 证书的导出副本的文件的文件名。在 pkispawn 可以使用该文件之前,该文件必须已存在。
  • pki_ds_ldaps_port :设置安全 LDAPS 端口目录服务器侦听的端口。默认值为 636
启用 CS 和 DS 之间的 TLS 相互身份验证

pkispawn 将假定并根据上述参数创建与所选 DS 实例的基本 TLS 服务器身份验证连接,并在我们的示例设置中使用。
但是,红帽认证系统可以通过 TLS mutual 身份验证 与其内部 LDAP 服务器通信。完成安装后,您将能够通过在安装后部分以下 第 7.13.13 节 “启用从 CS 到 DS 的 TLS 相互身份验证” 中对目录服务器进行连接需要 TLS mutual 身份验证。
请注意,在设定 mutual 身份验证后,pki_ds_password 不再相关。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat