红帽全球峰会2.4. CS 10.8 中已知的问题
这部分论述了您应该在 Red Hat Certificate System 10.8 中了解的已知问题,如果适用,临时解决方案。
TPS 需要添加匿名绑定 ACI 访问
在以前的版本中,默认允许匿名绑定 ACI,但现在在 LDAP 中被禁用。因此,这可以防止注册或格式化 TPS 智能卡。
要临时解决这个问题,您需要在目录服务器中手动添加匿名绑定 ACI:
使用 pkidestroy 或 pki-server 删除删除实例后重新安装的问题
如果您安装 CA 实例并使用 pkidestroy 或 pki-server remove 命令删除它,如果您尝试再次安装 CA 实例,则返回安装错误:
Installation failed: [Errno 2] No such file or directory: '/lib/systemd/system/pki-tomcatd@.service' -> '/etc/systemd/system/pki-tomcatd.target.wants/pki-tomcatd@topology-02-CA.service'
Installation failed: [Errno 2] No such file or directory: '/lib/systemd/system/pki-tomcatd@.service' -> '/etc/systemd/system/pki-tomcatd.target.wants/pki-tomcatd@topology-02-CA.service'
要解决这个问题,在使用 pkidestroy 或 pki-server remove 命令删除实例后,请删除并重新安装 redhat-pki-packages。
pki-core 软件包中的已知问题:
因为 auditSigningCert缺少属性,使用 HSM 克隆 KRA 会失败
当使用硬件安全模块(HSM)克隆密钥恢复授权(KRA)时,auditSigningCert trust attribute u,u,Pu 应该会隐式在 master 和克隆之间的别名 DB 中同步。但是,它现在无法在克隆的别名 DB 中复制。因此,使用 HSM 克隆 KRA 会失败,并显示 auditSigningCert cert-topology-02-KRA KRA is invalid: Invalid certificate: (-8101)证书类型没有为应用程序批准。
要临时解决这个问题,您必须在克隆 KRA 的别名 DB 中明确为 auditSigningCert 添加 u,u,Pu trust 属性,并重新启动实例。例如:
在临时解决方案前:
certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J
# certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J Enter Password or Pin for "token": certutil: certificate is invalid: Certificate type not approved for application.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在临时解决方案后:
certutil -M -d /var/lib/pki/clone-KRA/alias/ -n 'token:auditSigningCert cert-topology-02-KRA KRA' -t u,u,Pu certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J
# certutil -M -d /var/lib/pki/clone-KRA/alias/ -n 'token:auditSigningCert cert-topology-02-KRA KRA' -t u,u,Pu # certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J Enter Password or Pin for "token": certutil: certificate is validCopy to Clipboard Copied! Toggle word wrap Toggle overflow
使用带有 --agent-uid pkidbuser 选项的 cert-fix 工具会破坏证书系统
使用带有 --agent-uid pkidbuser 选项的 cert-fix 工具会破坏证书系统的 LDAP 配置。因此,证书系统可能会变得不稳定,需要手动步骤才能恢复该系统。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}