25.2. IdM 内部的证书


您的内部证书可以取决于您是如何安装 IdM 的,以及该安装中包含了哪些组件。根据该安装,您可能在您的系统上存储了以下证书。

IdM CA 证书

IdM 使用 IdM CA 证书来签名所有其他证书。请注意,它没有出现在 CA-less 安装中。

caSigningCert描述

文件系统位置

  • /etc/pki/pki-tomcat/alias NSS 数据库中的 nickname=caSigningCert cert-pki-ca
  • /etc/ipa/nssdb//etc/ipa/ca.crt 中的 nickname=REALM.NAME IPA CA (从 LDAP 填充)

LDAP 位置

cn=REALM.NAME IPA CA,cn=certificates,cn=ipa,cn=etc,dc=realm,dc=name 和 ou=authorities,ou=ca,o=ipaca

发布者

由外部 CA 自签名或签名

主题

O = REALM.NAME, CN = Certificate Authority

请注意,这是默认值,但可以在 IdM 服务器安装过程中进行自定义。

附加信息

必须具有 CA:true 关键约束,且必须在 NSS 数据库中有 CT,C,C 信任标记。

外部 CA 证书

如果您使用外部 CA,则 IdM 中必须有外部 CA 链以验证 IdM 证书。对于无 CA 的安装,外部 CA 证书必须存在于不同的位置,包括 LDAP 和 /etc/ipa/ca.crt 目录中,以验证 HTTPD 和 LDAP 证书。

注意

您不必手动将外部 CA 证书添加到所有所需位置,因为在安装过程中会自动完成。但是,如果以后更新外部 CA 证书,您应该遵循 使用外部 CA 续订 IdM CA 续订服务器证书 中的步骤,以确保将新证书添加到需要它的每个位置。

外部证书描述

文件系统位置

/etc/pki/pki-tomcat/alias nssdb,并作为 /etc/ipa/ca.crt 中链的一部分(从 LDAP 填充)

LDAP 位置

cn=SUBJECT,cn=certificates,cn=ipa,cn=etc,dc=realm,dc=name 和 ou=authorities,ou=ca,o=ipaca

发布者

外部 CA 签名的

主题

外部 CA 主题

附加信息

您必须在链中有 DER 格式的所有证书,您必须将它们导入到 LDAP 中。在 NSS 数据库中必须有 CT,C,C 信任标记。

子系统 CA 证书

此证书用于在写入 LDAP 数据库时向 LDAP 服务器进行身份验证。无 CA 的安装中没有此证书。

subsystemCert描述

文件系统位置

nickname=subsystemCert cert-pki-ca in /etc/pki/pki-tomcat/alias nssdb

LDAP 位置

uid=pkidbuser,ou=people,o=ipaca

发布者

IPA CA

主题

CN=CA Subsystem,O=REALM.NAME

附加信息

注意 LDAP 中的序列号和 blob 不匹配。例如,2;SERIAL;CN=Certificate Authority,O=REALM.NAME;CN=CA Subsystem,O=REALM.NAMEuserCertificate 必须与文件系统上的匹配。

审计签名证书

此证书用于签名审计日志。请注意,它没有出现在 CA-less 安装中。

auditSigningCert描述

文件系统位置

nickname=auditSigningCert cert-pki-ca in /etc/pki/pki-tomcat/alias nssdb

LDAP 位置

没有专用的 LDAP 位置,通过 ou=certificateRepository,ou=ca,o=ipaca共享

发布者

IPA CA

主题

CN=CA Audit,O=REALM.NAME

附加信息

在 NSS 数据库中必须有 ,P 信任标记。

OCSP 签名证书

此证书用于提供在线证书状态协议(OCSP)服务。请注意,它没有出现在 CA-less 安装中。

ocspSigningCert描述

文件系统位置

nickname=ocspSigningCert cert-pki-ca in /etc/pki/pki-tomcat/alias nssdb

LDAP 位置

没有专用的 LDAP 位置,通过 ou=certificateRepository,ou=ca,o=ipaca共享

发布者

IPA CA

主题

CN=OCSP Subsystem,O=REALM.NAME

附加信息

 

Tomcat servlet 证书

当客户端联系 PKI 时,使用此证书。请注意,这个服务器证书特定于主机,它不会出现在 CA-less 安装中。

server-Cert描述

文件系统位置

  • /etc/pki/pki-tomcat/alias nssdb+ 中的 nickname=Server-Cert cert-pki-ca

LDAP 位置

 

发布者

IPA CA

主题

CN=$HOSTNAME,O=REALM.NAME

附加信息

 

注册颁发机构证书

certmonger 以及 IdM 框架用来认证到 PKI 的证书。例如,如果您运行 ipa cert-show 1,则 HTTPD 与 PKI 进行通信,并使用此证书进行身份验证。在 CA-less 安装中不存在。

RA 代理描述

文件系统位置

/var/lib/ipa/ra-agent.pem (RHEL 7.4 之前在 /etc/httpd/alias 中)

LDAP 位置

uid=ipara,ou=people,o=ipaca

发布者

IPA CA

主题

CN=IPA RA,O=REALM.NAME

附加信息

注意 LDAP 中的序列号和 blob 不匹配。例如,2;SERIAL;CN=Certificate Authority,O=REALM.NAME;CN=IPA RA,O=REALM.NAMEuserCertificate 必须与文件系统上的匹配。

HTTPD 前端证书

用于 HTTPD 前端的证书,以保护到 Web UI 和 API 的连接。必须存在。

HTTPD描述

文件系统位置

/var/lib/ipa/certs/httpd.crt (RHEL 8 之前在 /etc/httpd/alias 中)

LDAP 位置

 

发布者

无 CA 安装中的 IPA CA 或外部 CA

主题

CN=$HOSTNAME,O=REALM.NAME

附加信息

必须包含一个主体名称为 otherName = 1.3.6.1.4.1.311.20.2.3;UTF8:HTTP/$HOSTNAME@REALM, DNS name = $HOSTNAMECertificate Subject Alt Name 扩展。

LDAP TLS 和 STARTTLS 证书

用于 LDAP TLS 和 STARTTLS 连接的证书。必须存在。

LDAP描述

文件系统位置

/etc/dirsrv/slapd-DOMAIN NSS 数据库中的 nickname=Server-Cert (可以是其他昵称,匹配 dse.ldif 中的 nsSSLPersonalitySSL

LDAP 位置

 

发布者

无 CA 安装中的 IPA CA 或外部 CA

主题

CN=$HOSTNAME,O=REALM.NAME

附加信息

必须包含一个主体名称为 otherName = 1.3.6.1.4.1.311.20.2.3;UTF8:ldap/$HOSTNAME@REALM, DNS name = $HOSTNAMECertificate Subject Alt Name 扩展。

KDC 证书

用于 IdM KDC 的 PKINIT 的证书。

KDC描述

文件系统位置

/var/kerberos/krb5kdc/kdc.crt

LDAP 位置

 

发布者

无 CA 安装中的 IPA CA 或外部 CA

主题

CN=$HOSTNAME,O=REALM.NAME

附加信息

必须有扩展的密钥用法 id-pkinit-KPkdc (1.3.6.1.5.2.3.5), 主体名称为 otherName = 1.3.6.1.4.1.311.20.2.3;UTF8:krbtgt/REALM@REALM, DNS name = $HOSTNAME.

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.