第 12 章 使用 certmonger
管理计算机身份验证的一部分是管理计算机证书。
certmonger
服务管理应用程序的证书生命周期,如果正确配置,则可以与证书颁发机构(CA)一起工作以续订证书。
certmonger
守护进程及其命令行客户端简化了生成公钥/私钥对、创建证书请求以及向 CA 提交请求以签名的过程。certmonger
守护进程监控证书过期,并可续订即将过期的证书。certmonger
监控的证书在存储在可配置的目录中的文件中跟踪。默认位置为 /var/lib/certmonger/requests
。
注意
certmonger
守护进程无法撤销证书。证书只能由相关证书颁发机构撤销,该认证机构需要使证书无效并更新其证书撤销列表。
12.1. 证书和证书颁发机构
默认情况下,certmonger 可以自动获取与证书使用的颁发机构源不同的三类证书:
- 自签名证书生成自签名证书不会涉及任何 CA,因为每个证书都是使用证书本身的密钥签名的。验证自签名证书的软件需要指示其直接信任该证书才能进行验证。要获取自签名证书,请运行 selfsign-getcert 命令。
- 作为 Red Hat Enterprise Linux IdM 的一部分来自 Dogtag 证书系统 CA 的证书要使用 IdM 服务器获取证书,请运行 ipa-getcert 命令
- 由系统中存在本地 CA 签名的证书验证由本地签名人签名的证书的软件需要指示其信任来自本地签名人的证书,以便验证它们。要获取本地签名的证书,请运行 local-getcert 命令。
其他 CA 也可以使用 certmonger 来管理证书,但必须通过创建特殊的 CA 帮助程序 来添加支持到 certmonger。有关如何创建 CA 帮助程序的更多信息,请参阅 certmonger 项目文档,网址为 https://pagure.io/certmonger/blob/master/f/doc/submit.txt。