第 80 章 快速使特定一组相关证书无效
作为系统管理员,如果您希望快速使一组特定证书无效:
- 设计您的应用,以便他们仅信任由特定轻量身份管理(IdM)子 CA 发布的证书。之后,您只需撤销签发这些证书的 Identity Management(IdM)子 CA 的证书,即可使所有这些证书无效。有关如何在 IdM 中创建和使用轻量级子 CA 的详情,请参考 快速地使特定的相关证书组无效。
为确保正在取消的 IdM 子 CA 发布的所有证书都立即无效,请配置依赖此类证书的应用程序使用 IdM OCSP 响应者。例如,若要将 Firefox 浏览器配置为使用 OCSP 响应器,请确保在 Firefox Preferences 中选中了
查询 OCSP 响应器服务器以确认证书复选框当前有效
。在 IdM 中,证书吊销列表(CRL)每四个小时更新一次。要使 IdM 子 CA 发布的所有证书无效,请参阅 吊销 IdM 子 CA 证书。此外,禁用相关的 CA ACL,并考虑 禁用 IdM 子 CA。禁用子 CA 可防止子 CA 发布新证书,但允许为之前发布的证书生成在线证书状态协议(OCSP)响应,因为子 CA 的签名密钥被保留。
如果您的环境中使用 OCSP,则不要删除子 CA。删除子 CA 会删除子 CA 的签名密钥,从而导致为该子 CA 发布的证书生成 OCSP 响应。
删除子 CA 时的唯一场景是希望创建一个具有相同主题区分名称(DN)但新的签名密钥的新子 CA,而不是禁用它。
80.1. 在 IdM CLI 中禁用 CA ACL
当您要停用 IdM 服务或一组 IdM 服务时,请考虑禁用任何现有的相应 CA ACL。
按照以下流程禁用 TLS_web_server_authentication CA ACL,其限制运行在 IdM 客户端上的 Web 服务器请求由 webserver-ca
IdM 子 CA 发布的证书,并禁用 TLS_web_client_authentication CA ACL,其限制 IdM 用户请求由 webclient-ca
IdM 子 CA 发布的用户证书。
流程
要查看 IdM 环境中的所有 CA ACL,请输入
ipa caacl-find
命令:$ ipa caacl-find ----------------- 3 CA ACLs matched ----------------- ACL name: hosts_services_caIPAserviceCert Enabled: TRUE ACL name: TLS_web_server_authentication Enabled: TRUE ACL name: TLS_web_client_authentication Enabled: TRUE
另外,若要查看 CA ACL 的详情,请输入
ipa caacl-show
命令并指定 CA ACL 名称:$ ipa caacl-show TLS_web_server_authentication ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca Profiles: caIPAserviceCert Services: HTTP/rhel8server.idm.example.com@IDM.EXAMPLE.COM
要禁用 CA ACL,输入
ipa caacl-disable
命令并指定 CA ACL 名称。要禁用 TLS_web_server_authentication CA ACL,请输入:
$ ipa caacl-disable TLS_web_server_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_server_authentication" -------------------------------------------------
要禁用 TLS_web_client_authentication CA ACL,请输入:
$ ipa caacl-disable TLS_web_client_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_client_authentication" -------------------------------------------------
现在唯一启用的 CA ACL 是 hosts_services_caIPAserviceCert CA ACL。
重要对于禁用
hosts_services_caIPAserviceCert
CA ACL,请格外小心。禁用hosts_services_caIPAserviceCert
,没有另一个 CA ACL 允许 IdM 服务器使用带有caIPAserviceCert
配置集的ipa
CA,这意味着 IdMHTTP
和LDAP
证书的证书续订会失败。过期的 IdMHTTP
和LDAP
证书最终将导致 IdM 系统失败。