8.3. 突出显示更新和新功能
Red Hat Enterprise Linux 7.1 上的 Red Hat Certificate System 9.0 需要 可选软件仓库中的 软件包
当在 Red Hat Enterprise Linux 7.1 上部署 Red Hat Certificate System 9.0 层次产品时,它需要访问 Red Hat Enterprise Linux
Optional 软件仓库中仅存在的软件包。以下是所需的软件包:
resteasy-base-client >= 3.0.6-1 is needed by pki-base-10.2.4-2.el7.noarch resteasy-base-jackson-provider >= 3.0.6-1 is needed by pki-base-10.2.4-2.el7.noarch libsvrcore.so.0()(64bit) is needed by pki-tps-10.2.4-2.el7.x86_64 jss-javadoc >= 4.2.6-35 is needed by redhat-pki-10.2.4-1.el7.noarch nuxwdog-client-java >= 1.0.1-11 is needed by pki-server-10.2.4-2.el7.noarch
注意
请注意,从 Red Hat Enterprise Linux 7.2 开始,这些软件包将添加到常见依赖项中,从而消除使用
Optional 软件仓库的要求。
新的 pki 命令行工具
Red Hat Certificate System 9 引入了一个新的
pki 命令行工具,它为访问 PKI 服务器上的 PKI 服务提供了一个界面。该工具的主要目的是:
- 允许将常用的 CA 和 KRA 功能从命令行用于最终用户,以及用于简单脚本和自动化目的。
- 从命令行使用新的 REST API 操作。
有关
pki 工具程序的详情请参考 pki man page。
简化安装和部署
Red Hat Certificate System 9.0 中引入了一些简化安装和部署的新功能,以提供以下功能:
- 使用类似 INI 的配置文件而不是命令行参数简化静默安装
- 实例创建和配置可以在单一自动操作中执行
- 多个子系统可以部署到单个 Tomcat 实例中。
有关安装和部署改进的详情,请参考 pkispawn man page。
技术预览:TPS 的全局平台 2.1.1
注意
请注意,这个功能作为技术预览提供,提供对即将推出的产品功能的早期访问,且还没有在订阅协议中被完全支持。
最新版本的 Global Platform 已包含在 Red Hat Certificate System 9 附带的 TPS 版本中。TPS 现在能够调配支持较新版本的 Global Platform 和最新的加密操作的卡。特别是,引入了
gp211 applet,它提供了对安全频道协议 02 (SCP02)的支持。SCP02 已使用 SafeNet the Technologies Smart Card 650 进行测试。
REST Web Service API
Red Hat Certificate System 9 提供了一组新的 REST API,用于访问证书系统的各种 Web 服务。它还提供 Java 和 Python 客户端库,以便更容易与其他应用程序集成。
技术预览:新的基于 Java 的令牌处理系统
注意
请注意,这个功能作为技术预览提供,提供对即将推出的产品功能的早期访问,且还没有在订阅协议中被完全支持。
Red Hat Certificate System 9 将基于 Apache HTTPD 的 TPS 替换为基于 Java Tomcat 的 TPS。新的基于 Java 的 TPS 保留了基于 C 的现有实现的功能奇偶校验,并提供新的用户界面以更好地用户体验。
KRA 增强
在以前的版本中,只有在 CA 中使用某些配置文件注册证书时,Key Recovery Authority (KRA)只归档私有(asymmetric)加密密钥。在 Red Hat Certificate System 9 中,KRA 已扩展来归档其他类型的 secret,如密码短语或对称密钥。这些密钥可以通过代理直接联系新的 KRA REST 接口来存档和检索。
此功能允许 KRA 作为所有类型的 secret 的安全、审计的密码库运行。实际上,KRA 充当红帽身份管理中 Vault 功能的安全后端存储。
此外,KRA 能够生成和归档非对称密钥,以支持 TMS 工作流的服务器端密钥生成,以允许生成对称密钥。此功能也公开给 KRA REST 接口。
支持 KRA 传输密钥轮转
在带有克隆证书系统实例的大型企业环境中使用传输密钥轮转可能并不切实际,因为它需要关闭。Red Hat Certificate System 9 引入了 KRA 传输密钥轮转功能,允许使用当前和新传输密钥在 CA/KRA 子系统实例之间进行无缝过渡。此功能允许 KRA 传输密钥定期轮转以增强安全性,方法是在转换期间同时允许旧和新的传输密钥运行;单个子系统实例依次配置,而其他克隆仍不会停机。
外部授权 LDAP 服务器
Red Hat Certificate System 9 引入了"外部授权"机制,用于在注册期间与基于目录的身份验证结合使用。当定义了任何基于目录的身份验证时,也可以定义与用户组评估相关的新参数。此功能通过授权增强了身份验证方法,以便在需要时,某些配置文件注册可以仅限于外部身份验证/授权 LDAP 服务器中定义的特定组的用户。
在安装过程中将 SAN 添加到服务器证书
在以前的版本中,管理员无法控制用于系统 SSL 证书的 Subject Alternative (SAN)扩展。在这个发行版本中,添加了一个新功能,以便管理员在
pkispawn 配置中指定 SAN 扩展。
常见标准评估
Red Hat Certificate System 9 尚未针对通用标准进行评估。
基于 GUI 的安装向导中的 PKI 配置 Has Been Removed
在以前的版本中,证书系统为公钥基础架构(PKI)配置提供了一个 Web 界面。由于 Firefox 中与 GUI 相关的功能不明确支持,PKI 配置已从 Red Hat Certificate System 9.0 中删除。要安装和配置 PKI 实例,请使用 pkispawn 工具。
