7.5. 已知问题
Red Hat Certificate System 9.1 受到以下已知问题的影响:
重要
请注意,本文档只包含基本 Red Hat Enterprise Linux 7.3 发行版本中不提供的功能的发行注记。Red Hat Certificate System 中的一些已知问题包括在 pki-core 中,它们记录在 Red Hat Enterprise Linux 7.3 发行注记 中。
除非设置了宽限期,无法在控制台中配置 CRL 来更新每个撤销或发行版本
目前,无法只根据证书撤销事件配置证书撤销列表(CRL)更新。当设置 full 和 delta CRL 调度时,每次从 hold 选项撤销或发布证书时,Update CRL 都需要填写两个 宽限期 设置。
因此,要选择这个选项,您需要首先选择 Update CRL per 选项,并为 Next update grace period 一 分钟 输入数字。
Firefox 无法同时注册签名和归档证书
caDualCert.cfg 配置集之前使用 Mozilla 加密对象创建两个请求,一个用于签名证书,另一个用于加密密钥,并为加密密钥指定。由于 Mozilla 删除了 generateCRMFRequest () 对象,因此 Red Hat Certificate System 无法再支持浏览器中的这类注册。
以下流程指定如何使用 pki 命令行界面(CLI)工具生成相同的两个证书。它描述了手动用户签名和加密分区注册。
- 注册仅签名的证书:
- 使用
certutil创建证书签名请求(CSR):certutil -R -k rsa -g 2048 -s "CN=John Smith,O=Example Corp,L=Mountain View,ST=California,C=US" -d ./ -a -o cert.cer
- 使用
caSigningUserCert配置集将请求发送到证书颁发机构(CA):pki ca cert-request-submit --csr-file ./cert.cer --profile caSigningUserCert --subject "CN=John Smith,O=Example Corp,L=Mountain View,ST=California,C=US"
- 最终的证书可以使用产品的标准端点(EE)图形用户界面来检索:
- 注册只加密的证书:
- 从密钥恢复授权(KRA)获取传输证书:
pki -C "" -U 'https://localhost:8443/ca' cert-show 0x07 --encoded --output transport.pem
- 通过咨询产品的最终实体接口,可以确保证书
0x07实际上是 KRA 的传输证书。如果证书发生具有不同的 ID,请使用那个 ID 而不是0x07。 - 使用 CRMFPopClient 命令为加密密钥创建 CSR,该证书会将私钥归档到 KRA。在这里,我们使用
caEncUserCert配置集来获取此证书:CRMFPopClient -d . -p password "secret123" -o csr -a rsa -l 2048 -n "UID=username" -f caEncUserCert -b transport.pem
- 获取
caEncUserCert配置集的注册模板:pki -v -C "secret123" -U https://localhost:8443/ca cert-request-profile-show caEncUserCert --output encuser.xml
- 清理您刚才创建的
csr文件中结尾的行:dos2unix csr
- 按如下所示填写注册模板:
cert_request_type = crmf cert_request = <copied certificate request blob from the file csr> sn_cn = <your cn value>
- 向 CA 提交最终请求:
pki -v -C "secret123" -U https://localhost.localdomain:8443/ca cert-request-submit encuser.xml
终端应该打印成功或注册失败。
如果注册成功,代理可以批准此请求,从而发布证书。请注意,批准将触发加密密钥归档到 KRA。
产品的 EE 接口可用于获取新的加密密钥。
使用 Internet Explorer 10 的 caUserCert 配置集请求会导致 Invalid request 错误
目前,当使用来自 Windows 7 的 Internet Explorer 10 的
caUserCert 配置集提交请求时,请求会导致 "Invalid request" 错误。以下流程指定如何解决这个问题。
- 进入 Internet Options/Advanced/Security 部分,再取消选中 TLS 1.2 复选框以连接到 SSL 端口。
- 进入 End Entity 页面,允许下载和导入 CA 证书链。将 CA 证书添加到 受信任的 CA 列表。
- 进入 Internet Options 并输入 Security 选项卡。将 SSL url 添加到 受信任的 Sites 列表中。将安全滑块设置为中型高或选择中等(如果尝试对问题进行故障排除)。
- 点右侧的 工具 下拉菜单进入 Compatibility View Settings 设置,并将站点添加到列表中。或者,为网站站点或所有站点启用视图。
- 进入常见的双使用配置集注册页面。浏览器可能会发出加密操作要发生的警告。通过单击ign OK 接受这一操作。此时,显示应当有一个下拉列表,其 key size 列表包含通信服务提供程序(CSP)。如果此列表不为空,请尝试注册。
每次从 hold 选项撤销或发布证书时,控制台不会启用 Update CRL 单独选择
目前,当设置 full 和 delta CRL 调度时 ,每次从 hold 选项撤销或发布证书时,Update CRL 都需要填写两个 宽限期 设置。因此,若要 在每次从 hold 选项撤销或发布证书时选择 Update CRL,您需要首先选择 Update CRL 每个 选项,并为 Next 更新宽限期 输入数字。
卸载 TPS 时需要的其他步骤
由于一个已知问题,在卸载之前版本中不需要的令牌处理系统时,您必须执行一些额外的步骤。具体步骤请查看
pkidestroy (8) 手册页。
