10.5. 克隆 KRA 子系统
- 配置主子系统,再备份密钥。
- 使用
pkispawn
工具创建克隆子系统实例:$
pkispawn -s <subsystem> -f myconfig.txt
在克隆 KRA 子系统时,pkispawn
所需的配置文件示例:[DEFAULT] pki_admin_password=<Secret.123> pki_client_database_password=<Secret.123> pki_client_pkcs12_password=<Secret.123> pki_ds_password=<Secret.123> pki_security_domain_password=<Secret.123> pki_security_domain_hostname=<master_ca_hostname> pki_security_domain_https_port=<master_ca_https_port> pki_security_domain_user=caadmin [KRA] pki_clone=True pki_clone_pkcs12_password=<Secret.123> pki_clone_pkcs12_path=<path_to_pkcs12_file> pki_clone_replicate_schema=True pki_clone_uri=https://<master_subsystem_host:master_subsystem_https_port> pki_issuing_ca=https://<ca_hostname:ca_https_port>
- 重启克隆使用的 Directory 服务器实例。
#
systemctl dirsrv@instance_name.service
注意重启 Directory 服务器会重新载入更新的模式,这是正确的性能所必需的。 - 重启克隆实例。
# pki-server restart instance_name
对于 KRA 克隆,测试以确保 master-clone 关系正常运行:
- 进入 KRA 代理的页面。
- 单击 List Requests。
- 选择 Show all requests for the request type and status。
- 单击。
- 比较克隆的 KRA 和主 KRA 的结果。结果相同。