8.4. 已知问题
Red Hat Certificate System 的 9.0 版本中已知的问题。当可用后,会包括临时解决方案。
- BZ#1041414
- 由于一个错误,证书系统在安装 TPS 时设置不正确的 CA 配置文件 ID。要临时解决这个问题,请手动将
/var/lib/pki/instance_name/tps/conf/CS.cfg文件中的op.enroll.delegateISEtoken.keyGen.encryption.ca.profileId参数设置为 caTokenUserDelegateAuthKeyEnrollment :op.enroll.delegateISEtoken.keyGen.encryption.ca.profileId=caTokenUserDelegateAuthKeyEnrollment
- BZ#1256901
- 当在启用了
TLS_ECDHE_RSA 密码时使用某些 HSM 时,子系统会遇到通信问题。在以下情况下出现这个问题:- 安装 CA 且安装第二个子系统并尝试将 CA 作为安全域联系后,从而防止安装成功。
- 在 CA 上执行证书注册时,当需要归档时,CA 会遇到与 KRA 相同的通信问题。只有在安装临时禁用外密码时,才会发生这种情况。
要临时解决这个问题,请尽可能关闭TLS_ECDHE_RSAthe 密码。请注意,虽然 Perfect Forward Secrecy 通过使用TLS_ECDHE_RSA114密码提供安全性,但每个 SSL 会话大约需要三次时间才能建立。另外,默认的TLS_RSAthe 密码足以满足证书系统操作要求。 - 上游问题跟踪
- Red Hat Certificate System 9 仅使用 RSA 传输证书提供 SCEP 注册。如果需要使用 SCEP 发布 ECC 证书,管理员应设置用于传输目的的 RSA 系统证书,而不是 CA 签名证书。
- BZ#1202527
- 如果客户端提供的 CUID 没有以格式正确转换,则
tokenType和keySet映射解析器框架有时无法正确评估 CUID 范围的映射过滤器(tokenCUID.start / tokenCUID.end)。 - BZ#1256984
- 目前,外部注册恢复不会计算每个密钥的大小来单独恢复,且默认仅适用于 1024 位密钥。例如,在尝试恢复带有 2048 位私钥的证书时,将失败。要临时解决这个问题,请在
CS.cfg文件中的externalRegAddToToken配置集中添加以下设置:op.enroll.externalRegAddToToken.keyGen.encryption.keySize=2048
如果所有需要的certificates 添加的大小都有相同大小的密钥,则此配置将可以正常工作。 - BZ#1255963
- 当使用支持
scp01智能卡的最新 TPS applet 版本时,SafeNet 330 Java (330J)智能卡上的格式操作会失败。请注意,TPS 服务器当前作为技术预览提供,且在订阅协议中未被完全支持。 - BZ#1202526
- 令牌终止会强制撤销令牌中的所有证书,且之前,无法自定义该进程。Red Hat Certificate System 添加了对对证书执行操作的精细控制。但是,为了正常工作,此功能需要将以下参数列表添加到所有令牌类型的 TPS
CS.cfg文件中:op.enroll.tokenType.keyGen.keyType.recovery.terminated.revokeCert op.enroll.tokenType.keyGen.keyType.recovery.terminated.revokeCert.reason op.enroll.tokenType.keyGen.keyType.recovery.terminated.scheme
以上参数可确保终止和密钥组合状态可以配置为具有不同的撤销原因。op.enroll.tokenType.keyGen.keyType.recovery.endState.holdRevocationUntilLastCredential = true/false
以上每个令牌的新参数集合都允许设置行为,以便在证书由多个令牌共享时,不会撤销该证书,直到包含该证书的最后令牌终止或丢失。如果证书最终在最后令牌上撤销,则所有其他令牌的状态也会设置为 revoke。op.enroll.tokenType.keyGen.keyType.recovery.state.revokeExpiredCerts = true/false
以上为每个令牌类型的新参数集合允许设置行为,以便过期的证书不会被撤销。 - BZ#1255192
- 在 证书管理器 - 证书配置文件 中,如果您选择禁用的配置文件实例并点击 Edit/View 获取 证书配置文件规则编辑器 窗口,则不会应用对输入的更改。
- BZ#1253502
- 发布
caDirUserCert证书时,当启用发布的证书的作业通知时,作业通知电子邮件不会被发送。 - BZ#1252952
- 当将 SCP02 令牌与
gp211Coolkey 小程序(目前作为技术预览提供)一起使用时,尝试重新注册操作会导致在进程末尾接近失败。要临时解决这个问题,请在重新注册前执行格式操作。 - BZ#1254804
- Firefox 33、35 或更高版本不再支持 CRMF 密钥生成请求类型。因此,无法再执行基于浏览器的注册,特别是在密钥归档功能中。请注意,对于没有执行密钥归档的配置集,现在对基于 keygen 的简单注册提供有限的支持。要临时解决这个问题,请通过
pkiCLI 实用程序执行注册。在 Red Hat Certificate System 9 中,client-cert-request 命令同时支持 PKCS the10 和 CRMF 证书请求。要使用密钥归档生成并提交 CRMF 证书请求,首先下载传输证书:# pki cert-find --name "<KRA Transport certificate's subject common name>" # pki cert-show serial_number --output transport.pem
然后,提交证书请求:# pki -c password client-init # pki -c password client-cert-request subject_DN --profile caDualCert --type crmf --transport transport.pem
- BZ#1257670
- 当安装了带有 KRA 的 CA 并尝试通过启用了归档的 CA 配置集进行归档尝试时,如果 CA 和 KRA 之间的连接被试图使用
pkidbuser用户而不是子系统用户,则归档尝试会失败。要临时解决这个问题,将pkidbuser用户添加到 Trusted Managers 组中。 - BZ#1244965
- 在 Red Hat Certificate System 9 中弃用了同步密钥恢复机制。红帽建议使用异步密钥恢复。
- BZ#1250741
- 当克隆 CA 且设置了
serialCloneTransferNumber=0的 master CA 时,pkispawn工具目前不会返回正确的错误消息,因为应该一样。 - BZ#1255431
- 与身份验证插件接口协议不兼容会导致
UdnPwdDirAuth插件在 Red Hat Certificate System 9.0 中无法正常工作,因此此插件目前无法放置到任何配置文件中。 - BZ#1250734
- 克隆 CA 时,如果序列号范围小于
serialCloneTransferNumber的值,pkispawn工具会以异常而不是返回正确的错误消息来终止。 - BZ#1252621
pkispawn工具使用以下默认端口,如/etc/pki/default.cfg中定义的:pki_https_port=8443 pki_http_port=8080
虽然pkispawn允许高度灵活的自定义,但任何尝试使用预先分配给其他用途的端口覆盖默认端口值都可能会导致安装或配置失败,并显示类似如下的错误消息:pkispawn : DEBUG ....... Error Type: Exception pkispawn : DEBUG ....... Error Message: port 9180 has invalid selinux context pki_ca_port_t
运行以下命令可以检查给定端口的可用性:# semanage port -l | grep 9180 pki_ca_port_t tcp 829, 9180, 9701, 9443-9447 # semanage port -l | grep 18443 (if the port is unused, nothing will be displayed)
注意Red Hat Certificate System 9 主要使用http_port_tSELinux 上下文,即使默认的 HTTP 端口 8080 使用http_cache_port_t。对于以前的 Red Hat Certificate System 版本,以下端口及其 SELinux 上下文被添加到系统策略中,因此不能用于 Red Hat Certificate System 9:# semanage port -l | grep pki pki_ca_port_t tcp 829, 9180, 9701, 9443-9447 pki_kra_port_t tcp 10180, 10701, 10443-10446 pki_ocsp_port_t tcp 11180, 11701, 11443-11446 pki_ra_port_t tcp 12888-12889 pki_tks_port_t tcp 13180, 13701, 13443-13446 pki_tps_port_t tcp 7888-7889
- BZ#1246635
- pki user-cert-add 命令提供了一个选项,可直接从 CA 导入用户证书。但是,如果命令因为客户端库初始化而通过 SSL 端口执行,这个选项将无法正常工作。因此,命令会失败并显示以下错误消息:
javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated.
要临时解决这个问题,请使用 pki cert-show 命令将证书从 CA 下载到文件中,然后使用 pki user-cert-add 命令从文件中上传证书。 - BZ#1247410
- 目前,
ocspResponderURL配置参数在使用 HTTPS 安全端口时无法正常工作。因此,尝试使用 CA 的安全端口从 KRA (密钥恢复授权)子系统启用 OCSP 检查会导致在 KRA 重启过程中自我测试失败。要临时解决这个问题,您可以安全地使用不安全的 HTTP 端口,因为响应经过签名和时间戳。 - BZ#1251581
- 当使用
Manual User Signing & Encryption Certificates Enrollment配置集使用 End-Entity 页面提交注册请求时,CA 将生成加密和解密证书。但是,当使用CRMFPopClient或pki工具提交请求时,CA 只生成加密密钥。要临时解决这个问题,可以单独请求签名证书。 - BZ#1231261
pkispawn工具有一个交互模式,主要可帮助用户部署最直接的配置,并熟悉 Red Hat Certificate System。因此,pkispawn目前没有为 HSM、克隆子系统、子 CA 和外部签名 CA 提供交互式会话。作为临时调整,用户在交互式pkispawn会话中正确告知用户,因为该功能尚不支持,以防止混淆其他相关错误消息。- BZ#753311
- 重启 CA 时,SELinux 会返回 AVC 拒绝的错误消息。CA 最终会正确重启,因此可以忽略这些错误。
- BZ#699456
- 如果管理员创建自定义日志类型,对文件或日志文件配置所做的任何修改都不会记录在审计日志中。这意味着日志文件不安全 。
- BZ#693412
- 使用 KRA 代理页面搜索待处理的恢复请求不会返回待处理的请求列表。使用提交恢复请求时给出的参考号搜索特定的恢复请求。根据参考号搜索成功返回恢复请求记录。在那里,点 按钮来批准请求。
- BZ#678320
- 使用小升级操作重置令牌中的密码无法正常工作。密码重置操作和小升级操作都失败。要临时解决这个问题,在 PIN 重置配置集中禁用 applet 升级。
- BZ#673182
- 对审计日志的签名不支持 ECC 密钥。服务器和 audit Verify 工具都支持签名的审计日志文件的 ECC 密钥。要临时解决这个问题,请使用 RSA 密钥签名审计日志。
- BZ#664594
- 批准密钥恢复请求并完成后,恢复请求页面会显示 KRA 代理批准恢复的列表。相反,Restore Approving Agents 字段会留空。代理用来批准请求的恢复页面会使用批准代理列表进行更新。该页面可以被引用。
- BZ#616532
- 当尝试恢复密钥时,如果您根据密钥标识符搜索待处理请求并点击 按钮,它会返回一个错误,它存在一个处理请求的问题。用于提交搜索请求的表单发送不正确的请求,这会导致无效的 X.509 证书错误。要临时解决这个问题,在搜索标准表单中粘贴完整证书 Blob 中搜索恢复证书。
- BZ#512029
- 如果将同一 HSM 分区用于多个 Red Hat Certificate System 子系统实例,则实例名称不能多次使用,即使实例位于不同的主机上。如果用户尝试配置与现有实例相同的名称(包括默认选项)的新实例,则配置过程会在密钥生成步骤中停止,并显示证书主题名称已存在的错误。要临时解决这个问题,在使用 HSM 时,请始终指定不同的
pki_XYZ_subject_dn。 - BZ#226823
server.xml文件中的 <Connector > 条目中的一个错误会导致服务器启动并侦听该连接器端口,但不提供任何服务。如果系统被配置为使用 HSM,而不是内部令牌,且可通过 Tomcat 服务器返回的以下 JSS 配置错误来识别这个问题:Failed to create jss service: java.lang.SecurityException: Unable to initialize security library
- BZ#454559
- 尝试使用
wget工具或 HTTP POST 连接到在线证书状态管理器,以超时发送 OCSP 请求。要临时解决这个问题,请使用OCSPClient实用程序发送状态请求。
