6.2. 突出显示更新和新功能
Red Hat Certificate System 9.2 包括以下新功能和重要的更新:
重要
请注意,本文档仅包含基本 Red Hat Enterprise Linux 7.4 版本中不提供的功能的发行注记。Red Hat Certificate System 中的许多新功能都位于 pki-core 中,它们记录在 Red Hat Enterprise Linux 7.4 发行注记 中。
为 Red Hat Certificate System 服务器上的 SSL/TLS 会话事件添加了新的审计事件
Red Hat Certificate System 现在支持几个与
SSL 和 TLS 会话事件相关的新审计日志事件,即成功和失败的连接建立和连接终止。
新日志事件有:
- ACCESS_SESSION_ESTABLISH_SUCCESS 用于成功连接
- ACCESS_SESSION_ESTABLISH_FAILURE 用于失败的连接
- 用于终止连接的 ACCESS_SESSION_TERMINATED
这些新事件默认记录在服务器审计日志文件中。使用
CS.cfg 文件进一步配置这些设置。(BZ#1404080)
Red Hat Certificate System 现在可以在安全连接开始时显示自定义横幅
在 Red Hat Certificate System 中添加了新的配置选项,以便在安全连接开始时显示自定义横幅。这允许组织显示关于未授权用途的公告通知和警告消息等消息。每次 PKI 客户端(PKI 命令行、Web 用户界面或 PKI 控制台)使用
SSL 或 TLS 连接连接到服务器时,将显示该消息。将提示连接的用户,以确认他们在恢复普通客户端操作前读取横幅。
要启用此功能,请在
/etc/pki/pki-tomcat/banner.txt 中创建一个文件,并将您要显示的消息放在此文件中。确保文件编码为 UTF-8,并由 pkiuser 用户帐户读取。要删除横幅,请删除上述文件。不需要服务器重启来添加、更改或删除横幅。(BZ#1404085)
从 Red Hat Certificate System 服务器检索审计日志的新工具
在 Red Hat Certificate System 中添加了新的工具来获取审计日志,以允许审核员在本地检索审计日志,以检查和验证。
要列出现有的审计日志文件,请使用以下命令:
pki <subsystem>-audit-file-find
要检索特定的审计日志文件,请使用以下命令:
pki <subsystem>-audit-file-retrieve <filename>
获取审计日志后,使用 grep 等标准工具搜索特定的日志条目,以及 audit Verify 工具来验证其真实性。有关这些工具的更多信息,请参阅其相应的 man page。(BZ#1417307)
PKI 控制台的新会话超时参数
新参数
keepAliveTimeout 已添加到证书系统的服务器配置文件中。此参数控制 PKI 控制台的会话超时周期。PKI 控制台将在这个参数中指定时间段后自动与服务器断开连接;然后控制台将显示错误消息并终止。
超时在
server.xml 文件中配置,接受一个整数,该整数以 miliseconds 为单位指定超时周期。默认值为 300000,即 5 分钟。(BZ#1446877)
证书系统现在支持启用了 SCP03 的令牌
有了这个增强,证书系统现在支持启用了 Giesecke & Devrient (G&D)智能捕获 6 和令牌管理系统(TMS)的安全通道协议 03 (SCP03)。这允许 TMS 用户在响应 SCP03 的智能卡上执行令牌格式和注册,这会在令牌令牌操作过程中使用高级加密标准(AES)提供额外的安全性。(BZ#1274086)
