5.3. IdM 中的随机序列号
从 RHEL 9.1 开始,身份管理(IdM)包括 dogtagpki 11.2.0,它允许您使用随机序列号版本 3 (RSNv3)。ansible-freeipa ipaserver 角色包括带有 RHEL 9.3 更新的 ipaserver_random_serial_numbers 变量。
启用 RSNv3 后,IdM 为 PKI 中的证书和请求生成完全随机的序列号,而不管理范围。在重新安装 IdM 时,RSNv3 也会阻止冲突。每个证书序列号的大小最多为 40 位十进制值,因为 RSNv3 对序列号使用 128 位随机值。这使得数字实际上是随机的。
注意
在以前的版本中,Dogtag 上游项目使用基于范围的序列号,以确保跨多个克隆的唯一性。但是,基于这种体验,Dogtag 团队确定基于范围的序列号不适合具有短期证书的云环境。
RSNv3 仅支持新的 IdM CA 安装。默认情况下,在使用 ipa-server-install 命令安装主 IdM 服务器时,您安装了第一个 IdM CA。但是,如果您最初安装没有 CA 的 IdM 环境,您可以在以后使用 ipa-ca-install 命令添加 CA 服务。要启用 RSNv3,请使用带有 --random-serial-numbers 选项的 ipa-server-install 或 ipa-ca-install 命令。
如果启用了,则需要对部署中的所有公钥基础设施(PKI)服务使用 RSNv3,包括 CA 和密钥恢复授权(KRA)。安装 KRA 时会执行一个检查,以便在底层 CA 上启用了 RSNv3 时自动启用 RSNv3 。
其他资源
