25.2. IdM 内部的证书
您的内部证书可以取决于您是如何安装 IdM 的,以及该安装中包含了哪些组件。根据该安装,您可能在您的系统上存储了以下证书。
IdM CA 证书
IdM 使用 IdM CA 证书来签名所有其他证书。请注意,它没有出现在 CA-less 安装中。
caSigningCert | 描述 |
---|---|
文件系统位置 |
|
LDAP 位置 |
|
发布者 | 由外部 CA 自签名或签名 |
主题 |
请注意,这是默认值,但可以在 IdM 服务器安装过程中进行自定义。 |
附加信息 |
必须具有 |
外部 CA 证书
如果您使用外部 CA,则 IdM 中必须有外部 CA 链以验证 IdM 证书。对于无 CA 的安装,外部 CA 证书必须存在于不同的位置,包括 LDAP 和 /etc/ipa/ca.crt
目录中,以验证 HTTPD 和 LDAP 证书。
您不必手动将外部 CA 证书添加到所有所需位置,因为在安装过程中会自动完成。但是,如果以后更新外部 CA 证书,您应该遵循 使用外部 CA 续订 IdM CA 续订服务器证书 中的步骤,以确保将新证书添加到需要它的每个位置。
外部证书 | 描述 |
---|---|
文件系统位置 |
|
LDAP 位置 |
|
发布者 | 外部 CA 签名的 |
主题 | 外部 CA 主题 |
附加信息 |
您必须在链中有 DER 格式的所有证书,您必须将它们导入到 LDAP 中。在 NSS 数据库中必须有 |
子系统 CA 证书
此证书用于在写入 LDAP 数据库时向 LDAP 服务器进行身份验证。无 CA 的安装中没有此证书。
subsystemCert | 描述 |
---|---|
文件系统位置 |
|
LDAP 位置 |
|
发布者 | IPA CA |
主题 |
|
附加信息 |
注意 LDAP 中的序列号和 blob 不匹配。例如, |
审计签名证书
此证书用于签名审计日志。请注意,它没有出现在 CA-less 安装中。
auditSigningCert | 描述 |
---|---|
文件系统位置 |
|
LDAP 位置 |
没有专用的 LDAP 位置,通过 |
发布者 | IPA CA |
主题 |
|
附加信息 |
在 NSS 数据库中必须有 |
OCSP 签名证书
此证书用于提供在线证书状态协议(OCSP)服务。请注意,它没有出现在 CA-less 安装中。
ocspSigningCert | 描述 |
---|---|
文件系统位置 |
|
LDAP 位置 |
没有专用的 LDAP 位置,通过 |
发布者 | IPA CA |
主题 |
|
附加信息 |
Tomcat servlet 证书
当客户端联系 PKI 时,使用此证书。请注意,这个服务器证书特定于主机,它不会出现在 CA-less 安装中。
server-Cert | 描述 |
---|---|
文件系统位置 |
|
LDAP 位置 | |
发布者 | IPA CA |
主题 | CN=$HOSTNAME,O=REALM.NAME |
附加信息 |
注册颁发机构证书
certmonger
以及 IdM 框架用来认证到 PKI 的证书。例如,如果您运行 ipa cert-show 1
,则 HTTPD 与 PKI 进行通信,并使用此证书进行身份验证。在 CA-less 安装中不存在。
RA 代理 | 描述 |
---|---|
文件系统位置 |
|
LDAP 位置 |
|
发布者 | IPA CA |
主题 |
|
附加信息 |
注意 LDAP 中的序列号和 blob 不匹配。例如, |
HTTPD 前端证书
用于 HTTPD 前端的证书,以保护到 Web UI 和 API 的连接。必须存在。
HTTPD | 描述 |
---|---|
文件系统位置 |
|
LDAP 位置 | |
发布者 | 无 CA 安装中的 IPA CA 或外部 CA |
主题 |
|
附加信息 |
必须包含一个主体名称为 |
LDAP TLS 和 STARTTLS 证书
用于 LDAP TLS 和 STARTTLS 连接的证书。必须存在。
LDAP | 描述 |
---|---|
文件系统位置 |
|
LDAP 位置 | |
发布者 | 无 CA 安装中的 IPA CA 或外部 CA |
主题 |
|
附加信息 |
必须包含一个主体名称为 |
KDC 证书
用于 IdM KDC 的 PKINIT 的证书。
KDC | 描述 |
---|---|
文件系统位置 |
|
LDAP 位置 | |
发布者 | 无 CA 安装中的 IPA CA 或外部 CA |
主题 |
|
附加信息 |
必须有扩展的密钥用法 |