第 77 章 使用 certmonger 为服务获取 IdM 证书
77.1. Certmonger 概述
当 Identity Management(IdM)安装集成 IdM 证书颁发机构(CA)时,它将使用 certmonger 服务
来跟踪和续订系统和服务证书。当证书到达过期日期时,certmonger 通过以下
方法管理续订过程:
- 使用原始请求中提供的选项重新生成证书签名请求(CSR)。
-
使用 IdM API
cert-request
命令将 CSR 提交到 IdM CA。 - 从 IdM CA 接收证书。
- 如果由原始请求指定,则执行预保存命令。
-
在续订请求中指定的位置安装新证书:在
NSS
数据库或文件中。 -
如果由原始请求指定,则执行保存后的命令。例如,保存后命令可以指示
certmonger 重新启动
相关服务,以便服务获取新证书。
证书类型 certmonger
跟踪
证书可分为系统和服务证书。
与服务证书(例如 HTTP
、LDAP
和 PKINIT
)不同,后者在不同服务器上具有不同的密钥对和主题名称,IdM 系统证书及其密钥由所有 CA 副本共享。IdM 系统证书包括:
-
IdM CA
证书 -
OCSP
签名证书 -
IdM CA 子系统
证书 -
IdM CA 审计签名
证书 -
IdM 续订代理
(RA)证书 -
KRA
传输和存储证书
certmonger
服务跟踪在安装带有集成 CA 的 IdM 环境期间请求的 IdM 系统和服务证书。Certmonger 还
跟踪系统管理员为 IdM 主机上运行的其他服务手动请求的证书。Certmonger
不会跟踪外部 CA 证书或用户证书。
Certmonger 组件
certmonger
服务由两个主要组件组成:
-
certmonger 守护进程
,即引擎跟踪证书列表并启动续订命令 -
命令行界面
(CLI)的getcert
实用程序允许系统管理员主动向certmonger 守护进程
发送命令。
更具体来说,系统管理员可以使用 getcert
工具程序: