Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 2 章 Red Hat Certificate System 简介

每个常见的 PKI 操作(如发布、续订和撤销证书);归档和恢复密钥;发布 CRL 并验证证书状态,通过在 Red Hat Certificate System 中 Interoperating 子系统来执行。本章介绍了每个子系统的功能及其一起建立强大和本地 PKI 的方法。

2.1. 证书系统子系统的检查
复制链接

Red Hat Certificate System 提供五个不同的子系统,每个子系统都侧重于 PKI 部署的不同方面:

  • 名为 证书颁发机构证书颁发机构。CA 是 PKI 的核心;它发布并撤销所有证书。证书管理器也是证书系统的核心。通过建立可信子系统 的安全域,它会建立和管理其他子系统之间的关系。

  • 密钥恢复机构 (KRA)。证书基于特定和唯一的密钥对创建。如果私钥丢失,则该密钥用于访问的数据(如加密电子邮件)也会丢失,因为它无法访问。KRA 存储密钥对,以便可以根据恢复的密钥生成新的相同证书,即使私钥丢失或损坏,也可以访问所有加密的数据。

    注意

    在以前的证书系统版本中,KRA 也称为数据恢复管理器(DRM)。某些代码、配置文件条目、Web 面板和其他资源可能仍然使用术语 DRM 而不是 KRA。

  • 在线证书状态协议(OCSP )响应器。OCSP 验证证书是否有效且未过期。此功能也可以通过 CA 完成,它具有内部 OCSP 服务,但使用外部 OCSP 响应程序会降低发出 CA 的负载。
  • 令牌密钥服务 (TKS)。TKS 基于令牌 CCID、私有信息和定义的算法生成密钥。TPS 使用这些派生的密钥格式化令牌并在令牌上注册证书。
  • 令牌处理系统 (TPS)。TPS 直接与外部令牌(如智能卡)交互,并通过本地客户端(ESC)管理这些令牌上的密钥和证书。当有令牌操作时,ESC 会联系 TPS,并且 TPS 与 CA、KRA 或 TKS 交互,然后以企业安全客户端将信息发送到令牌。

即使安装了所有可能的子系统,证书系统的核心仍是 CA (或 CA),因为它们最终处理所有与证书相关的请求。其他子系统连接到 wheel 中 spoke 的 CA 或 CA。这些子系统在 tandem 中协同工作,以创建公钥基础架构(PKI)。根据安装的子系统,PKI 可以在以下两种方式之一(或两者)中正常工作:

  • 令牌管理系统或 TMS 环境,用于管理智能卡。这需要一个 CA、TKS 和 TPS,对于服务器端密钥生成,可选的 KRA。
  • 传统的 非令牌管理系统 或非TMS 环境,用于管理智能卡以外的环境中使用的证书,通常是在软件数据库中。至少,非TMS 只需要一个 CA,但非TMS 环境也可以使用 OCSP 响应者和 KRA 实例。
注意

红帽认证系统包括技术预览代码(如 EST)。早期对即将推出的产品功能的访问权限不会被评估,且不会在评估的配置中使用。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat