7.2. 安装带有集成 CA 的 IdM 服务器，其密钥和证书存储在 HSM 中

流程

1. 运行 install 命令，确保您指定 PKCS modprobe 库的位置、令牌名称和令牌密码：

   ipa-server-install -a <password> -p <dmpassword>-r <IDM.EXAMPLE.COM> -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=<HSM-TOKEN> --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so

   Copy to Clipboard Toggle word wrap
2. 提示时指定令牌密码。

验证

1. 运行 certutil 以显示 CA 证书信息：

   certutil -L -d /etc/pki/pki-tomcat/alias
   
   Certificate Nickname                    Trust Attributes
                                           SSL,S/MIME,JAR/XPI
   
   caSigningCert cert-pki-ca               CT,C,C
   ocspSigningCert cert-pki-ca             ,,
   Server-Cert cert-pki-ca                 u,u,u
   subsystemCert cert-pki-ca               ,,
   auditSigningCert cert-pki-ca            ,,P

   Copy to Clipboard Toggle word wrap

   请注意，如果证书的 Trust Attributes 下没有列出 u，这表示私钥存储在令牌中。在这种情况下，只有 Server-Cert cert-pki-ca 有 u 标志，因为它不会因为性能的原因在 HSM 上安装。

2. 验证密钥和证书存储在 HSM 中：

   certutil -L -d /etc/pki/pki-tomcat/alias -h <HSM-TOKEN>
   
   Certificate Nickname                                Trust Attributes
   	   SSL,S/MIME,JAR/XPI
   
   Enter Password or Pin for "<HSM-TOKEN>":
   <HSM-TOKEN>:subsystemCert cert-pki-ca                  	u,u,u
   <HSM-TOKEN>:ocspSigningCert cert-pki-ca                	u,u,u
   <HSM-TOKEN>:caSigningCert cert-pki-ca                  	CTu,Cu,Cu
   <HSM-TOKEN>:auditSigningCert cert-pki-ca               	u,u,Pu

   Copy to Clipboard Toggle word wrap

   证书名称前缀为 HSM 令牌名称，这表示私钥和证书存储在令牌中。

   存储密钥不会影响用户获取或使用证书的方式。