第 5 章 规划您的 CA 服务
Red Hat Enterprise Linux 中的身份管理 (IdM) 提供不同类型的证书颁发机构 (CA) 配置。以下小节描述了不同的场景,并为您提供最适合您的用例的建议。
- CA 主题 DN
- 证书颁发机构 (CA) 主题区分名称 (DN) 是 CA 的名称。它必须在 Identity Management (IdM) CA 基础架构中具有全局唯一性,且在安装后不可更改。如果您需要 IdM CA 进行外部签名,您可能需要咨询外部 CA 管理员有关您的 IdM CA 主题 DN 应采用的形式。
5.1. IdM 服务器中的 CA 服务
您可以使用集成 IdM 证书颁发机构 (CA) 或者没有 CA 安装 Identity Management (IdM) 服务器。
| 集成的 CA | 没有 CA | |
|---|---|---|
| 概述: | IdM 使用自己的公钥基础架构 (PKI) 服务及 CA 签名证书在 IdM 域中创建和签署证书。
外部 CA 可以是企业 CA 或第三方 CA。 | IdM 不会设置其自身 CA,而是使用来自外部 CA 的签名主机证书。 安装没有 CA 的服务器需要您从第三方认证机构请求以下证书:
|
| 限制: | 如果集成的 CA 属于外部 CA,则在 IdM 域中发布的证书可能会受到外部 CA 为各种证书属性设置的限制,例如:
| 在 IdM 外部管理证书会导致许多其他活动,例如:
|
| 这最适合于: | 允许您创建和使用自己的证书基础架构的环境。 | 在非常罕见的情况下,基础架构内的限制不允许您安装与服务器集成的证书服务。 |
从自签名 CA 切换到外部签名 CA 或其他方式,以及更改外部 CA 签发 IdM CA 证书,即使安装后也可以更改哪些外部 CA 证书。即使在没有 CA 的安装后也可以配置集成 CA。如需了解更多详细信息,请参阅安装 IdM 服务器:带有集成 DNS,没有 CA。
其他资源
