7.4. 使用存储在 HSM 上的密钥和证书安装 IdM 副本服务器

先决条件

• 一个受支持的 HSM，安装那个 HSM 上的 CA 密钥和证书。请参阅使用存储在 HSM 中的密钥和证书安装带有集成 CA 的 IdM 服务器。
• 一个可用的插槽、令牌和令牌密码。

验证

• 验证密钥和证书存储在 HSM 中：

  certutil -L -d /etc/pki/pki-tomcat/alias - h <HSM-TOKEN>
  
  Certificate Nickname                                Trust Attributes
  	   SSL,S/MIME,JAR/XPI
  
  Enter Password or Pin for "<HSM-TOKEN>":
  <HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
  <HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
  <HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
  <HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu

  Copy to Clipboard

  证书名称前缀为 HSM 令牌名称，这表示私钥和证书存储在令牌中。

  存储密钥不会影响用户获取或使用证书的方式。