13.3. 打开 subsystem 控制台和服务
每个子系统具有不同的接口,可供不同的用户类型访问。除 TKS 外,所有子系统都有某种 Web 服务页面,适用于代理、管理员或最终用户(或全部三个)。此外,CA、KRA、OCSP 和 TKS 均具有基于 Java 的控制台,必须在服务器上安装该控制台,以执行管理任务来管理子系统本身。
对于基于 Web 的 Web 服务页面而言,可以定制基于 Web 的外观和有限程度的功能,以更好地与组织的现有网站集成。请参阅 红帽认证系统规划、安装和部署指南。
13.3.1. 查找 subsystem Web Services 页面
CA、KRA、OCSP、TKS 和 TPS 子系统有用于代理、常规用户和管理员的 Web 服务页面。可通过通过子系统的安全最终用户端口打开到子系统主机的 URL 来访问这些 Web 服务菜单。例如,对于 CA:
https://server.example.com:8443/ca/services
每个子系统的主要 Web 服务页面都有可用的服务页面列表,在 表 13.1 “默认网页” 中进行了概述。要具体访问任何服务,请访问适当的端口,并将适当的目录附加到 URL。例如,访问 CA 的最终实体(普通用户)Web 服务:
https://server.example.com:8443/ca/ee/ca
如果正确配置了 DNS,那么可以使用 IPv4 或 IPv6 地址连接到服务页面。例如:
https://1.2.3.4:8443/ca/services https://[00:00:00:00:123:456:789:00:]:8443/ca/services
有些子系统接口需要客户端身份验证才能访问,通常是与代理或管理员角色关联的接口。其他接口,即使在安全(SSL 连接)中运行也不需要客户端身份验证。其中一些接口(如端到端的实体服务)可以配置为要求进行客户端身份验证,但其他部分不能被配置为支持客户端身份验证。这些区别包括在 表 13.1 “默认网页” 中。
注意
任何人都可以访问子系统的最终用户页面,但访问代理或管理 Web 服务页面都需要在 Web 浏览器中发布并安装代理或管理员证书,或者对 Web 服务进行身份验证会失败。
| 用于 SSL | 用于客户端身份验证[a] | Web 服务 | Web 服务位置 |
|---|---|---|---|
| 证书管理器 | |||
| 否 | 结束实体 | ca/ee/ca/ | |
| 是 | 否 | 结束实体 | ca/ee/ca |
| 是 | 是 | 代理 | ca/agent/ca |
| 是 | 否 | 服务 | ca/services |
| 是 | 否 | 控制台(Console) | pkiconsole https://host:port/ca |
| 密钥恢复授权 | |||
| 是 | 是 | 代理 | kra/agent/kra |
| 是 | 否 | 服务 | kra/services |
| 是 | 否 | 控制台(Console) | pkiconsole https://host:port/kra |
| 在线证书状态管理器 | |||
| 是 | 是 | 代理 | ocsp/agent/ocsp |
| 是 | 否 | 服务 | ocsp/services |
| 是 | 否 | 控制台(Console) | pkiconsole https://host:port/ocsp |
| 令牌密钥服务 | |||
| 是 | 否 | 服务 | tks/services |
| 是 | 否 | 控制台(Console) | pkiconsole https://host:port/tks |
| 令牌处理系统 | |||
| 是 | 服务 | index.cgi | |
