第 20 章 在 IdM 中部署和管理 ACME 服务
这个功能是一个技术预览。
自动证书管理环境(ACME)是用于自动标识符验证和证书颁发的协议。它的目标是通过缩短证书生命周期并避免证书生命周期管理中的手动过程来提高安全性。
使用 RHEL 身份管理(IdM),管理员可从单个系统轻松地部署和管理拓扑范围的 ACME 服务。
20.1. IdM 中的 ACME 服务
这个功能是一个技术预览。
IdM 目前仅在启用了 Random Certificate Serial Numbers(RSNv3)的 RHEL 9.2 或更高版本中支持 ACME。
ACME 使用质询和响应身份验证机制来证明客户端能够控制标识符。在 ACME 中,标识符是通过解决挑战来来获得证书的所有权证明。在身份管理(IdM)中,ACAC 目前支持以下挑战:
-
dns-01,客户端创建 DNS 记录来证明它对标识符有控制 -
http-01,客户端提供 HTTP 资源以证明其对标识符有控制
在 IdM 中,ACAC 服务使用 PKI ACME 响应器。ACME 子系统会自动部署在 IdM 部署中的每个 CA 服务器上,但它不会服务请求,直到管理员启用它。服务器使用名称 ipa-ca.DOMAIN 来发现。所有 IdM CA 服务器都使用此 DNS 名称注册,因此请求通过轮询来平衡负载。
当管理员使用 ipa-server-upgrade 命令升级服务器时,还会部署 ACME,但禁用它。
ACME 作为 Apache Tomcat 中的单独服务运行。ACME 配置文件存储在 /etc/pki/pki-tomcat/acme 中,PKI 将 ACME 信息记录到 /var/log/pki/pki-tomcat/acme/ 中。
在发布 ACME 证书时,IdM 使用 acmeIPAServerCert 配置文件。签发的证书的有效期为 90 天。因此,强烈建议将 ACME 设置为自动删除过期的证书,以便它们不会在 CA 中累积,因为这可能会对性能造成负面影响。
提供不同的 ACME 客户端。要与 RHEL 一起使用,所选客户端必须支持 dns-01 或 http-01 质询。目前,以下客户端已经过测试,并已知可在 RHEL 中与 ACME 一起工作:
-
certbot带有http-01和dns-01质询 -
mod_md,其只支持http-01质询
