2.4. CS 10.8 中已知的问题
这部分论述了您应该在 Red Hat Certificate System 10.8 中了解的已知问题,如果适用,临时解决方案。
TPS 需要添加匿名绑定 ACI 访问
在以前的版本中,默认允许匿名绑定 ACI,但现在在 LDAP 中被禁用。因此,这可以防止注册或格式化 TPS 智能卡。
要临时解决这个问题,您需要在目录服务器中手动添加匿名绑定 ACI:
使用 pkidestroy
或 pki-server 删除删除实例
后重新安装的问题
如果您安装 CA 实例并使用 pkidestroy
或 pki-server remove
命令删除它,如果您尝试再次安装 CA 实例,则返回安装错误:
Installation failed: [Errno 2] No such file or directory: '/lib/systemd/system/pki-tomcatd@.service' -> '/etc/systemd/system/pki-tomcatd.target.wants/pki-tomcatd@topology-02-CA.service'
Installation failed: [Errno 2] No such file or directory: '/lib/systemd/system/pki-tomcatd@.service' -> '/etc/systemd/system/pki-tomcatd.target.wants/pki-tomcatd@topology-02-CA.service'
要解决这个问题,在使用 pkidestroy
或 pki-server remove
命令删除实例后,请删除并重新安装 redhat-pki-packages
。
pki-core
软件包中的已知问题:
因为 auditSigningCert
缺少属性,使用 HSM 克隆 KRA 会失败
当使用硬件安全模块(HSM)克隆密钥恢复授权(KRA)时,auditSigningCert
trust attribute u,u,Pu
应该会隐式在 master 和克隆之间的别名 DB 中同步。但是,它现在无法在克隆的别名 DB 中复制。因此,使用 HSM 克隆 KRA 会失败,并显示 auditSigningCert cert-topology-02-KRA KRA is invalid: Invalid certificate: (-8101)证书类型没有为应用程序批准
。
要临时解决这个问题,您必须在克隆 KRA 的别名 DB 中明确为 auditSigningCert
添加 u,u,Pu
trust 属性,并重新启动实例。例如:
在临时解决方案前:
certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J
# certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J Enter Password or Pin for "token": certutil: certificate is invalid: Certificate type not approved for application.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在临时解决方案后:
certutil -M -d /var/lib/pki/clone-KRA/alias/ -n 'token:auditSigningCert cert-topology-02-KRA KRA' -t u,u,Pu certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J
# certutil -M -d /var/lib/pki/clone-KRA/alias/ -n 'token:auditSigningCert cert-topology-02-KRA KRA' -t u,u,Pu # certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J Enter Password or Pin for "token": certutil: certificate is valid
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
使用带有 --agent-uid pkidbuser
选项的 cert-fix
工具会破坏证书系统
使用带有 --agent-uid pkidbuser
选项的 cert-fix
工具会破坏证书系统的 LDAP 配置。因此,证书系统可能会变得不稳定,需要手动步骤才能恢复该系统。