Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

7.3. 安装带有密钥和证书存储在 HSM 上的外部 CA 的 IdM 服务器

您可以安装一个使用外部证书颁发机构(CA)作为根 CA 的新身份管理(IdM)服务器。

在安装过程中,您必须提供系统的基本配置,如领域、管理员的密码和目录管理器的密码。

ipa-server-install 安装脚本在 /var/log/ipaserver-install.log 中创建一个日志文件。如果安装失败,日志可帮助您辨别问题。

先决条件

  • 根据厂商说明安装受支持的网络 HSM。请参阅支持的 HSM
  • HSM PKCS #11 库路径 /opt/nfast/toolkits/pkcs11/libcknfast.so
  • 一个可用的插槽、令牌和令牌密码。

  • 如果安装没有集成 IdM CA 的服务器,则必须从第三方认证机构请求以下证书:

    • LDAP 服务器证书
    • Apache 服务器证书
    • PKINIT 证书
    • 发布 LDAP 和 Apache 服务器证书的 CA 完整 CA 证书链

流程

  1. 运行 install 命令,确保您指定在使用外部 CA。 

    # ipa-server-install --external-ca
    Copy to Clipboard Toggle word wrap

    在安装过程中,工具会打印证书签名请求(CSR) /root/ipa.csr 的位置: 

    ...

Configuring certificate server (pki-tomcatd): Estimated time 3 minutes 30 seconds
  [1/8]: creating certificate server user
  [2/8]: configuring certificate server instance
The next step is to get /root/ipa.csr signed by your CA and re-run /sbin/ipa-server-install as:
/sbin/ipa-server-install --external-cert-file=/path/to/signed_certificate --external-cert-file=/path/to/external_ca_certificate
    Copy to Clipboard Toggle word wrap

  2. 要完成证书过程,使用安装工具生成的 CSR 完成以下步骤:

    1. 将位于 /root/ipa.csr 中的 CSR 提交给外部 CA。这个过程根据要用作外部 CA 的服务的不同而有所不同。

    2. 在基础 64 编码 blob 中检索颁发的证书和颁发 CA 的 CA 证书链(Windows CA 的 PEM 文件或 Base_64 证书)。同样,不同的证书服务的进程会有所不同。通常,网页或通知电子邮件中的下载链接允许管理员下载所有需要的证书。

      重要

      获取 CA 的完整证书链,而不只是 CA 证书。

  3. 再次运行 ipa-server-install 工具,以指定新发布的 CA 证书的路径和名称以及 PKCS #11 库的位置、令牌名称和令牌密码: 

    # ipa-server-install --external-cert-file=</tmp/servercert20170601.pem> --external-cert-file=</tmp/cacert.pem> -–token-name=<HSM-TOKEN> --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so
    Copy to Clipboard Toggle word wrap
  4. 提示时指定令牌密码。
  5. 安装脚本现在配置服务器。等待操作完成。

验证

  1. 运行 certutil 以显示 CA 证书信息: 

    certutil -L -d /etc/pki/pki-tomcat/alias

Certificate Nickname                    Trust Attributes
                                        SSL,S/MIME,JAR/XPI

caSigningCert cert-pki-ca               CT,C,C
ocspSigningCert cert-pki-ca             ,,
Server-Cert cert-pki-ca                 u,u,u
subsystemCert cert-pki-ca               ,,
auditSigningCert cert-pki-ca            ,,P
    Copy to Clipboard Toggle word wrap

    您可以看到证书 但 ,, 表示没有私钥,因为它们存储在令牌上。

  2. 验证密钥和证书是否已存储在 HSM 上: 

    certutil -L -d /etc/pki/pki-tomcat/alias - h <HSM-TOKEN>

Certificate Nickname                                Trust Attributes
	   SSL,S/MIME,JAR/XPI

Enter Password or Pin for "<HSM-TOKEN>":
<HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
<HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
<HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
<HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu
    Copy to Clipboard Toggle word wrap

    证书名称以 HSM 令牌名称为前缀,其表示私钥和证书已存储在令牌上。

    存储密钥的位置不会影响用户如何获取或使用证书。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat