第 12 章 使用 IdM CA 续订服务器
12.1. IdM CA 续订服务器说明
在使用嵌入式证书颁发机构 (CA) 的 Identity Management (IdM) 部署中,CA 续订服务器维护并更新 IdM 系统证书。它确保了强大的 IdM 部署。
IdM 系统证书包括:
-
IdM CA证书 -
OCSP签名证书 -
IdM CA 子系统证书 -
IdM CA 审计签名证书 -
IdM 续订代理(RA)证书 -
KRA传输和存储证书
哪个字符化系统证书是其密钥由所有 CA 副本共享。与之相反,IdM 服务证书(如 LDAP、HTTP 和 PKINIT 证书)在不同 IdM CA 服务器上有不同的密钥对和主题名称。
在 IdM 拓扑中,默认情况下,第一个 IdM CA 服务器是 CA 续订服务器。
在上游文档中,IdM CA 名为 Dogtag。
CA 续订服务器的角色
IdM CA、IdM CA 子系统 和 IdM RA 证书对于 IdM 部署至关重要。每个证书都存储在 /etc/pki/pki-tomcat/ 目录中的 NSS 数据库中,并作为 LDAP 数据库条目。LDAP 中存储的证书必须与存储在 NSS 数据库中的证书匹配。如果不匹配,则 IdM 框架和 IdM CA 之间以及 IdM CA 和 LDAP 之间的身份验证失败。
所有 IdM CA 副本都有每个系统证书的跟踪请求。如果带有集成 CA 的 IdM 部署不包含 CA 续订服务器,每个 IdM CA 服务器会单独请求续订系统证书。这会导致具有不同系统证书的不同 CA 副本,发生身份验证失败。
将一个 CA 副本作为续订服务器,可以在需要时精确续订系统证书,从而防止身份验证失败。
CA 副本上的 certmonger 服务角色
在所有 IdM CA 副本中运行的 certmonger 服务都使用 dogtag-ipa-ca-renew-agent 续订帮助程序来跟踪 IdM 系统证书。续订帮助程序读取 CA 续订服务器配置。在不是 CA 续订服务器的每个 CA 副本中,续订帮助程序从 ca_renewal LDAP 条目中检索最新的系统证书。由于无法决定 certmonger 续订尝试发生的准确时间,dogtag-ipa-ca-renew-agent 帮助程序有时会在 CA 续订服务器实际续订证书前尝试更新系统证书。如果发生这种情况,则即将过期的证书返回到 CA 副本上的 certmonger 服务。certmonger 服务因为意识到它是已经存储在其数据库中的相同证书,会重复尝试续订证书(每个尝试间有一个延迟),直到它可以从 CA 续订服务器检索到更新的证书。
IdM CA 续订服务器正常工作
带有内嵌 CA 的 IdM 部署是一个 IdM 部署,该部署使用 IdM CA 安装 - 或者在以后安装 IdM CA 服务器。具有嵌入式 CA 的 IdM 部署必须完全配置一个 CA 副本,作为续订服务器。续订服务器必须在线且完全正常工作,且必须与其他服务器正确复制。
如果使用 ipa server-del、ipa-replica-manage del、ipa-csreplica-manage del 或 ipa-server-install --uninstall 命令删除了当前的 CA 续订服务器,其他一个 CA 副本会自动分配为 CA 续订服务器。此策略可确保续订服务器配置保持有效。
此策略不包括以下情况:
