第 10 章 克隆子系统
首次配置新子系统实例时,红帽认证系统允许克隆或重复子系统,以进行证书系统的高可用性。克隆的实例在不同的机器上运行,以避免通过复制同步单点故障及其数据库。
主 CA 及其克隆的功能相同,它们只在序列号分配和 CRL 生成中有所不同。因此,本章将 master 或其任何克隆指代为 复制 CA。
10.1. 从软件数据库备份子系统密钥
理想情况下,在实例首次创建时,master 实例的密钥会被备份。如果没有备份密钥,或者备份文件丢失,那么可以使用
PKCS12Export 工具从子系统实例的内部软件数据库中提取密钥。例如:
PKCS12Export -debug -d /var/lib/pki/instance_name/alias -w p12pwd.txt -p internal.txt -o master.p12
然后,将 PKCS libpmem 文件复制到克隆实例配置中使用的克隆机器中。如需了解更多详细信息,请参阅 第 2.7.6 节 “克隆和密钥存储”。
注意
无法从 HSM 导出密钥。但是,在典型的部署中,HSM 支持网络访问权限,只要克隆实例使用与 master 相同的 HSM。如果两个实例都使用相同的密钥存储,则克隆会自然使用密钥。
如果需要从 HSM 备份密钥,请联系 HSM 制造商以获得帮助。
