第 26 章 了解 IdM 内部使用的证书
您可以安装带有集成证书颁发机构(CA)或没有 CA 的 Red Hat Identity Management (IdM)服务器。访问和管理 IdM 所需的证书会根据您的 CA 是否是集成的而不同:
-
集成的 CA:证书由
certmonger自动创建和跟踪。certmonger会自动续订证书,确保 IdM 服务持续有效。 - 没有 CA:证书是从第三方授权请求的。在这种情况下,您需要监控其过期,并确保它们被续订,以确保 IdM 服务的持续有效。
26.1. 关于 IdM 中的内部证书
Red Hat Identity Management (IdM)使用许多使用网络访问的服务,包括 LDAP 服务器和 HTTP 服务器。您可以使用 SSL/TLS 端口访问这些服务,该端口需要服务器证书。在安装 IdM 服务器的过程中需要 HTTP 和 LDAP 服务器证书。
您可以根据您安装和配置 IdM 的方式以多种方式获取证书:
集成的 CA 可以是自签名的或由外部 CA 签名的: IdM 会为由 IdM 管理的用户、主机和服务发出所有证书,您不需要提供证书文件。
certmonger会自动监控证书的到期日期,它们在需要时会自动续订。使用外部签名的 CA:安装是一个多个步骤的过程。
-
您需要使用
--external-ca选项运行安装来生成 CSR。 - 将 CSR 提交给外部 CA,并以 PEM 文件或 Base64 编码证书的形式检索发布的证书和 CA 证书链。
再次运行 IdM 服务器安装,指定新发布的 CA 证书和 CA 链文件的位置和名称。您的 IdM 证书颁发机构被配置为外部 CA 的子 CA,这个子 CA 发布所需的 HTTP 和 LDAP 服务器证书。
certmonger会自动监控证书的到期日期,它们在需要时会自动续订。
-
您需要使用
没有 CA:要求您从第三方认证机构请求以下证书:
- LDAP 服务器证书
- Apache 服务器证书
- PKINIT 证书
发布 LDAP 和 Apache 服务器证书的 CA 完整 CA 证书链
这些证书不会被
certmonger跟踪,管理员负责在它们过期日期之前续订证书。
其他资源
