2.3. 图形界面

重要

pkiconsole 已被弃用。

证书系统控制台pkiconsole 是一个图形界面，专为具有管理员角色权限的用户而设计，以管理子系统本身。这包括添加用户、配置日志、管理配置集和插件以及许多其他功能。此实用程序使用客户端身份验证通过 TLS 与证书系统服务器通信，并可用于远程管理服务器。

要第一次使用 pkiconsole 接口，请指定新密码并使用以下命令：

$ pki -c password -d ~/.redhat-idm-console client-init

此命令在 ~/.redhat-idm-console/ 目录中创建新客户端 NSS 数据库。

要将 CA 证书导入到 PKI 客户端 NSS 数据库中，请参阅 Red Hat Certificate System Planning , Installation, and Deployment Guide中的将证书导入到 NSS 数据库 部分。

要请求新客户端证书，请参阅第 5 章 请求、注册和管理证书。

执行以下命令，从 .p12 文件中提取 admin 客户端证书：

$ openssl pkcs12 -in file -clcerts -nodes -nokeys -out file.crt

按照 Red Hat Certificate System Planning, Installation, and Deployment Guide 中的 Managing Certificate/Key Crypto Token 部分所述，验证并导入 admin 客户端证书：

$ PKICertImport -d ~/.redhat-idm-console -n "nickname" -t ",," -a -i file.crt -u C

重要

在导入 CA admin 客户端证书前，请确保所有中间证书和 root CA 证书都已导入。

要将现有客户端证书及其密钥导入到客户端 NSS 数据库中：

$ pki -c password -d ~/.redhat-idm-console pkcs12-import --pkcs12-file file --pkcs12-password pkcs12-password

使用以下命令验证客户端证书：

$ certutil -V -u C -n "nickname" -d ~/.redhat-idm-console

Java 控制台供四个子系统使用：CA、IADP、KRA 和 TKS。可以使用本地安装的 pkiconsole 工具访问控制台。它可以访问任何子系统，因为命令需要主机名、子系统的管理 TLS 端口和特定的子系统类型。

pkiconsole https://server.example.com:admin_port/subsystem_type

如果没有配置 DNS，您可以使用 IPv4 或 IPv6 地址连接到控制台。例如：

https://192.0.2.1:8443/ca
https://[2001:DB8::1111]:8443/ca

这会打开控制台，如图 2.1 “证书系统控制台” 中所示。

图 2.1. 证书系统控制台

Configuration 选项卡控制子系统的所有设置，如名称所示。此选项卡中可用的选项根据实例的子系统类型而有所不同；CA 具有最大选项，因为它具有对作业、通知和证书注册身份验证的额外配置。

所有子系统有四个基本选项：

Status 选项卡显示子系统维护的日志。