26.2. IdM 内部的证书

您的内部证书可以取决于您是如何安装 IdM 的，以及该安装中包含了哪些组件。根据该安装，您可能在您的系统上存储了以下证书。

IdM CA 证书

IdM 使用 IdM CA 证书为所有其他证书签名。请注意，它没有出现在 CA-less 安装中。

caSigningCert	描述
文件系统位置	`/etc/pki/pki-tomcat/alias` NSS 数据库中的 `nickname=caSigningCert cert-pki-ca` `/etc/ipa/nssdb/` 和 `/etc/ipa/ca.crt` 中的 `nickname=REALM.NAME IPA CA` （从 LDAP 填充）
LDAP 位置	`cn=REALM.NAME IPA CA,cn=certificates,cn=ipa,cn=etc,dc=realm,dc=name 和 ou=authorities,ou=ca,o=ipaca`
发布者	由外部 CA 自签名或签名
主题	`O = REALM.NAME, CN = Certificate Authority` 请注意，这是默认值，但可以在 IdM 服务器安装过程中自定义。
附加信息	必须具有 `CA:true` 关键约束，且必须在 NSS 数据库中有 `CT,C,C` 信任标记。

外部 CA 证书

如果您使用外部 CA，则 IdM 中必须有外部 CA 链来验证 IdM 证书。对于无 CA 的安装，外部 CA 证书必须存在于不同的位置，包括 LDAP 和 /etc/ipa/ca.crt 目录中，以验证 HTTPD 和 LDAP 证书。

注意

您不必手动将外部 CA 证书添加到所有所需的位置，因为这在安装过程中自动完成。但是，如果外部 CA 证书以后被更新了，您应该遵循使用外部 CA 续订 IdM CA 续订服务器证书中的步骤，以确保新证书被添加到需要它的每个地方。

外部证书	描述
文件系统位置	`/etc/pki/pki-tomcat/alias nssdb`，并作为 `/etc/ipa/ca.crt` 中的链的一部分（从 LDAP 填充）
LDAP 位置	`cn=SUBJECT,cn=certificates,cn=ipa,cn=etc,dc=realm,dc=name 和 ou=authorities,ou=ca,o=ipaca`
发布者	外部 CA 签名的
主题	外部 CA 主题
附加信息	您必须在链中有 DER 格式的所有证书，您必须将它们导入到 LDAP 中。在 NSS 数据库中必须有 `CT,C,C` 信任标记。

子系统 CA 证书

此证书用于在写入 LDAP 数据库时向 LDAP 服务器进行身份验证。在无 CA 的安装中没有此证书。

subsystemCert	描述
文件系统位置	`nickname=subsystemCert cert-pki-ca` in `/etc/pki/pki-tomcat/alias nssdb`
LDAP 位置	`uid=pkidbuser,ou=people,o=ipaca`
发布者	IPA CA
主题	`CN=CA Subsystem,O=REALM.NAME`
附加信息	注意 LDAP 中的序列号和 Blob 不匹配。例如，`2;SERIAL;CN=Certificate Authority,O=REALM.NAME;CN=CA Subsystem,O=REALM.NAME` 和 `userCertificate` 必须与文件系统上的证书匹配。

审计签名证书

此证书用于签名审计日志。请注意，它没有出现在 CA-less 安装中。

auditSigningCert	描述
文件系统位置	`nickname=auditSigningCert cert-pki-ca` in `/etc/pki/pki-tomcat/alias nssdb`
LDAP 位置	没有专用的 LDAP 位置，通过 `ou=certificateRepository,ou=ca,o=ipaca`共享
发布者	IPA CA
主题	`CN=CA Audit,O=REALM.NAME`
附加信息	在 NSS 数据库中必须有 `,,P` 信任标记。

OCSP 签名证书

此证书用于提供在线证书状态协议(OCSP)服务。请注意，它没有出现在 CA-less 安装中。

ocspSigningCert	描述
文件系统位置	`nickname=ocspSigningCert cert-pki-ca` in `/etc/pki/pki-tomcat/alias nssdb`
LDAP 位置	没有专用的 LDAP 位置，通过 `ou=certificateRepository,ou=ca,o=ipaca`共享
发布者	IPA CA
主题	`CN=OCSP Subsystem,O=REALM.NAME`
附加信息

Tomcat servlet 证书

当客户端联系 PKI 时，使用此证书。请注意，这个服务器证书特定于主机，它不会出现在无 CA 的安装中。

Server-Cert	描述
文件系统位置	nickname = /etc/pki/pki-tomcat/alias nssdb+ 中的 Server-Cert cert-pki-ca
LDAP 位置
发布者	IPA CA
主题	CN=$HOSTNAME,O=REALM.NAME
附加信息

注册颁发机构证书

certmonger 以及 IdM 框架用来对 PKI 进行身份验证的证书。例如，如果您运行 ipa cert-show 1，则 HTTPD 使用此证书与 PKI 进行通信和身份验证。没有出现在无 CA 的安装中。

RA 代理	描述
文件系统位置	`/var/lib/ipa/ra-agent.pem` (在RHEL 7.4 之前位于 `/etc/httpd/alias` 中)
LDAP 位置	`uid=ipara,ou=people,o=ipaca`
发布者	IPA CA
主题	`CN=IPA RA,O=REALM.NAME`
附加信息	注意 LDAP 中的序列号和 Blob 不匹配。例如，`2;SERIAL;CN=Certificate Authority,O=REALM.NAME;CN=IPA RA,O=REALM.NAME` 和 `userCertificate` 必须与文件系统上的证书匹配。

HTTPD 前端证书

用于 HTTPD 前端的证书，来保护与 Web UI 和 API 的连接。必须存在。

HTTPD	描述
文件系统位置	`/var/lib/ipa/certs/httpd.crt` （RHEL 8 之前在 `/etc/httpd/alias` 中）
LDAP 位置
发布者	无 CA 安装中的 IPA CA 或外部 CA
主题	`CN=$HOSTNAME,O=REALM.NAME`
附加信息	必须包含一个主体名称为 `otherName = 1.3.6.1.4.1.311.20.2.3;UTF8:HTTP/$HOSTNAME@REALM, DNS name = $HOSTNAME` 的 `Certificate Subject Alt Name` 扩展

LDAP TLS 和 STARTTLS 证书

用于 LDAP TLS 和 STARTTLS 连接的证书。必须存在。

LDAP	描述
文件系统位置	`/etc/dirsrv/slapd-DOMAIN` NSS 数据库中的 `nickname=Server-Cert` （可以是其他昵称，与 `dse.ldif` 中的 `nsSSLPersonalitySSL` 匹配）
LDAP 位置
发布者	无 CA 安装中的 IPA CA 或外部 CA
主题	`CN=$HOSTNAME,O=REALM.NAME`
附加信息	必须包含一个主体名称为 `otherName = 1.3.6.1.4.1.311.20.2.3;UTF8:ldap/$HOSTNAME@REALM, DNS name = $HOSTNAME` 的 `Certificate Subject Alt Name` 扩展。

KDC 证书

用于 IdM KDC 的 PKINIT 的证书。

KDC	描述
文件系统位置	`/var/kerberos/krb5kdc/kdc.crt`
LDAP 位置
发布者	无 CA 安装中的 IPA CA 或外部 CA
主题	`CN=$HOSTNAME,O=REALM.NAME`
附加信息	必须有扩展的密钥使用 `id-pkinit-KPkdc (1.3.6.1.5.2.3.5)`, 主体名称为 `otherName = 1.3.6.1.4.1.311.20.2.3;UTF8:krbtgt/REALM@REALM, DNS name = $HOSTNAME`.