10.2. 克隆 CA
- 配置主 CA 并备份密钥。
- 在 master CA 的
CS.cfg
文件中,通过添加ca.listenToCloneModifications
参数来启用 master CA 来监控复制数据库更改:ca.listenToCloneModifications=true
- 创建 clone 子系统实例。有关克隆 CA 子系统时
pkispawn
所需的配置文件示例,请参阅在
pkispawn(8) man page的同一主机上安装 CA 克隆
和安装 CA 克隆。 - 重启克隆使用的 Directory 服务器实例。
# systemctl restart pki-tomcatd@kra-clone-ds-instance.service
注意重启 Directory 服务器会重新载入更新的模式,这是正确的性能所必需的。 - 重启克隆实例。
# pki-server restart instance_name
配置克隆后,测试以确保 master-clone 关系可以正常工作:
- 从克隆的 CA 请求证书。
- 批准请求。
- 将证书下载到浏览器。
- 吊销证书。
- 检查 master CA 的 CRL 是否有撤销的证书。在 master Certificate Manager 的代理服务页面中,单击 Update Certificate Revocation List。在列表中找到 CRL。CRL 应该显示克隆的证书管理器撤销的证书。如果没有列出该证书,请检查日志来解决这个问题。