第 23 章 快速地使相关证书的特定组无效
作为系统管理员,如果您想要快速地使相关证书的特定组无效:
- 设计应用程序,以便它们仅信任由特定轻量级身份管理(IdM)子 CA 发布的证书。之后,您可以通过撤销发布这些证书的 Identity Management(IdM)子 CA 的证书,使所有这些证书无效。有关如何在 IdM 中创建和使用轻量级子 CA 的详情,请参考快速地使特定的相关证书组无效。
为确保由撤销的 IdM 子 CA 发布的所有证书都立即无效,请配置依赖此类证书的应用程序使用 IdM OCSP 响应器。例如,要将 Firefox 浏览器配置为使用 OCSP 响应器,请确保
Query OCSP 响应器服务器确认证书复选框的当前有效期(在 Firefox 首选项中检查)。在 IdM 中,证书吊销列表(CRL)每四个小时更新一次。要使 IdM 子 CA 发布的所有证书无效,请参阅 吊销 IdM 子 CA 证书。此外,禁用相关的 CA ACL,并考虑 禁用 IdM 子 CA。禁用子 CA 可防止子 CA 发布新证书,但会允许线证书状态协议 (OCSP) 对之前发布的证书进行响应,这是因为子 CA 的签名密钥被保留。
如果您在环境中使用 OCSP,请不要删除子 CA。删除子 CA 会删除子 CA 的签名密钥,防止对子 CA 发布的证书的 OCSP 响应进行生产环境。
删除子 CA 好于禁用它的唯一场景是,您希望创建一个新的 sub-CA,它具有相同对象可区分名称(DN)但需要使用一个新的签名密钥。
23.1. 在 IdM CLI 中禁用 CA ACL
当您要停用 IdM 服务或 IdM 服务组时,请考虑禁用任何现有的对应的 CA ACL。
按照以下流程禁用 TLS_web_server_authentication CA ACL,其限制运行在 IdM 客户端上的 Web 服务器请求由 webserver-ca IdM 子 CA 发布的证书,并禁用 TLS_web_client_authentication CA ACL,其限制 IdM 用户请求由 webclient-ca IdM 子 CA 发布的用户证书。
步骤
可选:要查看 IdM 环境中的所有 CA ACL,请输入
ipa caacl-find命令:$ ipa caacl-find ----------------- 3 CA ACLs matched ----------------- ACL name: hosts_services_caIPAserviceCert Enabled: TRUE ACL name: TLS_web_server_authentication Enabled: TRUE ACL name: TLS_web_client_authentication Enabled: TRUE可选:要查看 CA ACL 的详情,请输入
ipa caacl-show命令,并指定 CA ACL 名称:$ ipa caacl-show TLS_web_server_authentication ACL name: TLS_web_server_authentication Description: CAACL for web servers authenticating to web clients using certificates issued by webserver-ca Enabled: TRUE CAs: webserver-ca Profiles: caIPAserviceCert Services: HTTP/rhel8server.idm.example.com@IDM.EXAMPLE.COM要禁用 CA ACL,输入
ipa caacl-disable命令,并指定 CA ACL 名称。要禁用 TLS_web_server_authentication CA ACL,请输入:
$ ipa caacl-disable TLS_web_server_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_server_authentication" -------------------------------------------------要禁用 TLS_web_client_authentication CA ACL,请输入:
$ ipa caacl-disable TLS_web_client_authentication ------------------------------------------------- Disabled CA ACL "TLS_web_client_authentication" -------------------------------------------------
唯一启用的 CA ACL 现在是 hosts_services_caIPAserviceCert CA ACL。
重要请注意,禁用
hosts_services_caIPAserviceCertCA ACL。如果禁用了hosts_services_caIPAserviceCert,且没有其他使用带有caIPAserviceCert配置集的ipaCA 的 CA ACL 授权 IdM 服务器时,在续订 IdMHTTP和LDAP证书时会失败。已过期的 IdMHTTP和LDAP证书最终将导致 IdM 系统失败。
