第 14 章 证书系统配置文件
每个子系统的主配置文件都是其
CS.cfg 文件。本章论述了编辑 CS.cfg 文件的基本信息。本章还介绍了子系统使用的一些其他有用配置文件,如密码和 Web 服务文件。
14.1. 证书系统子系统的文件和目录位置
证书系统服务器由 Apache Tomcat 实例组成,其中包含 一个或多个子系统。每个子系统包含一个 Web 应用,它处理特定类型的 PKI 功能请求。
可用的子系统有:CA、KRA、OCSP、TKS 和 TPS。每个实例只能包含每种 PKI 子系统之一。
子系统可以使用 pkispawn 命令在特定的实例中安装。
14.1.1. 实例特定信息
有关默认实例(pki-tomcat)的实例信息,请参阅 ???
| 端口类型 | 端口号 | 备注 |
|---|---|---|
| 安全端口 | 8443 | 用于通过 HTTPS 通过最终用户、代理和管理员访问 PKI 服务的主要端口。 |
| 不安全的端口 | 8080 | 用于通过 HTTP 对一些端点功能进行非安全访问服务器。用于提供已签名的 CRL,因此不需要加密。 |
| AJP 端口 | 8009 | 用于通过 AJP 连接从前端 Apache 代理服务器访问服务器。重定向到 HTTPS 端口。 |
| Tomcat 端口 | 8005 | 由 Web 服务器使用。 |
14.1.2. CA 子系统信息
本节包含有关 CA 子系统的详细信息,这是可作为 Web 应用在证书服务器实例中安装的可能子系统之一。
| 设置 | 值 |
|---|---|
| 主目录 | /var/lib/pki/pki-tomcat/ca/ |
| 配置目录 | /var/lib/pki/pki-tomcat/ca/conf/[a] |
| 配置文件 | /var/lib/pki/pki-tomcat/ca/conf/CS.cfg |
| 子系统证书 | CA 签名证书 |
| OCSP 签名证书(用于 CA 的内部 OCSP 服务) | |
| TLS 服务器证书 | |
| 审计日志签名证书 | |
| 子系统证书[b] | |
| 安全数据库 | /var/lib/pki/pki-tomcat/alias/[c] |
| 日志文件 | /var/log/pki/pki-tomcat/ca/logs/[d] |
| 安装日志 | /var/log/pki/pki-ca-spawn.date.log |
| 卸载日志 | /var/log/pki/pki-ca-destroy.date.log |
| 审计日志 | /var/log/pki/pki-tomcat/ca/signedAudit/ |
| 配置集文件 | /var/lib/pki/pki-tomcat/ca/profiles/ca/ |
| 电子邮件通知模板 | /var/lib/pki/pki-tomcat/ca/emails/ |
| Web 服务文件 | 代理服务: /var/lib/pki/pki-tomcat/ca/webapps/ca/agent/ |
| 管理服务: /var/lib/pki/pki-tomcat/ca/webapps/ca/admin/ | |
| 最终用户服务: /var/lib/pki/pki-tomcat/ca/webapps/ca/ee/ | |
[a]
别名化为 /etc/pki/pki-tomcat/ca/
[b]
子系统证书始终由安全域发布,以便需要客户端身份验证的域级别操作基于此子系统证书。
[c]
请注意,所有子系统证书都存储在实例安全数据库中
[d]
别名化为 /var/lib/pki/pki-tomcat/ca
| |
14.1.3. KRA 子系统信息
本节包含有关 KRA 子系统的详细信息,这是可作为 Web 应用在证书服务器实例中安装的可能子系统之一。
| 设置 | 值 |
|---|---|
| 主目录 | /var/lib/pki/pki-tomcat/kra/ |
| 配置目录 | /var/lib/pki/pki-tomcat/kra/conf/[a] |
| 配置文件 | /var/lib/pki/pki-tomcat/kra/conf/CS.cfg |
| 子系统证书 | 传输证书 |
| 存储证书 | |
| TLS 服务器证书 | |
| 审计日志签名证书 | |
| 子系统证书[b] | |
| 安全数据库 | /var/lib/pki/pki-tomcat/alias/[c] |
| 日志文件 | /var/lib/pki/pki-tomcat/kra/logs/ |
| 安装日志 | /var/log/pki/pki-kra-spawn-date.log |
| 卸载日志 | /var/log/pki/pki-kra-destroy-date.log |
| 审计日志 | /var/log/pki/pki-tomcat/kra/signedAudit/ |
| Web 服务文件 | 代理服务: /var/lib/pki/pki-tomcat/kra/webapps/kra/agent/ |
| 管理服务: /var/lib/pki/pki-tomcat/kra/webapps/kra/admin/ | |
[a]
链接到 /etc/pki/pki-tomcat/kra/
[b]
子系统证书始终由安全域发布,以便需要客户端身份验证的域级别操作基于此子系统证书。
[c]
请注意,所有子系统证书都存储在实例安全数据库中
| |
14.1.4. OCSP 子系统信息
本节包含有关 OCSP 子系统的详细信息,这是可作为证书服务器实例中的 Web 应用安装的可能子系统之一。
| 设置 | 值 |
|---|---|
| 主目录 | /var/lib/pki/pki-tomcat/ocsp/ |
| 配置目录 | /var/lib/pki/pki-tomcat/ocsp/conf/[a] |
| 配置文件 | /var/lib/pki/pki-tomcat/ocsp/conf/CS.cfg |
| 子系统证书 | 传输证书 |
| 存储证书 | |
| TLS 服务器证书 | |
| 审计日志签名证书 | |
| 子系统证书[b] | |
| 安全数据库 | /var/lib/pki/pki-tomcat/alias/[c] |
| 日志文件 | /var/lib/pki/pki-tomcat/ocsp/logs/ |
| 安装日志 | /var/log/pki/pki-ocsp-spawn-date.log |
| 卸载日志 | /var/log/pki/pki-ocsp-destroy-date.log |
| 审计日志 | /var/log/pki/pki-tomcat/ocsp/signedAudit/ |
| Web 服务文件 | 代理服务: /var/lib/pki/pki-tomcat/ocsp/webapps/ocsp/agent/ |
| 管理服务: /var/lib/pki/pki-tomcat/ocsp/webapps/ocsp/admin/ | |
[a]
链接到 /etc/pki/pki-tomcat/ocsp/
[b]
子系统证书始终由安全域发布,以便需要客户端身份验证的域级别操作基于此子系统证书。
[c]
请注意,所有子系统证书都存储在实例安全数据库中
| |
14.1.5. TKS 子系统信息
本节包含有关 TKS 子系统的详细信息,这是可作为证书服务器实例中的 Web 应用程序安装的可能子系统之一。
| 设置 | 值 |
|---|---|
| 主目录 | /var/lib/pki/pki-tomcat/tks/ |
| 配置目录 | /var/lib/pki/pki-tomcat/tks/conf/[a] |
| 配置文件 | /var/lib/pki/pki-tomcat/tks/conf/CS.cfg |
| 子系统证书 | 传输证书 |
| 存储证书 | |
| TLS 服务器证书 | |
| 审计日志签名证书 | |
| 子系统证书[b] | |
| 安全数据库 | /var/lib/pki/pki-tomcat/alias/[c] |
| 日志文件 | /var/lib/pki/pki-tomcat/tks/logs/ |
| 安装日志 | /var/log/pki/pki-tks-spawn-date.log |
| 卸载日志 | /var/log/pki/pki-tks-destroy-date.log |
| 审计日志 | /var/log/pki/pki-tomcat/tks/signedAudit/ |
| Web 服务文件 | 代理服务: /var/lib/pki/pki-tomcat/tks/webapps/tks/agent/ |
| 管理服务: /var/lib/pki/pki-tomcat/tks/webapps/tks/admin/ | |
[a]
链接到 /etc/pki/pki-tomcat/tks/
[b]
子系统证书始终由安全域发布,以便需要客户端身份验证的域级别操作基于此子系统证书。
[c]
请注意,所有子系统证书都存储在实例安全数据库中
| |
14.1.6. TPS 子系统信息
本节包含有关 TPS 子系统的详细信息,这是可作为 Web 应用在证书服务器实例中安装的可能子系统之一。
| 设置 | 值 |
|---|---|
| 主目录 | /var/lib/pki/pki-tomcat/tps |
| 配置目录 | /var/lib/pki/pki-tomcat/tps/conf/[a] |
| 配置文件 | /var/lib/pki/pki-tomcat/tps/conf/CS.cfg |
| 子系统证书 | 传输证书 |
| 存储证书 | |
| TLS 服务器证书 | |
| 审计日志签名证书 | |
| 子系统证书[b] | |
| 安全数据库 | /var/lib/pki/pki-tomcat/alias/[c] |
| 日志文件 | /var/lib/pki/pki-tomcat/tps/logs/ |
| 安装日志 | /var/log/pki/pki-tps-spawn-date.log |
| 卸载日志 | /var/log/pki/pki-tps-destroy-date.log |
| 审计日志 | /var/log/pki/pki-tomcat/tps/signedAudit/ |
| Web 服务文件 | 代理服务: /var/lib/pki/pki-tomcat/tps/webapps/tps/agent/ |
| 管理服务: /var/lib/pki/pki-tomcat/tps/webapps/tps/admin/ | |
[a]
链接到 /etc/pki/pki-tomcat/tps/
[b]
子系统证书始终由安全域发布,以便需要客户端身份验证的域级别操作基于此子系统证书。
[c]
请注意,所有子系统证书都存储在实例安全数据库中
| |
14.1.7. 共享证书系统子系统文件位置
有一些目录供所有证书系统子系统实例用于常规服务器操作,列在 ??? 中。
| 目录位置 | 内容 | |||||
|---|---|---|---|---|---|---|
| /var/lib/instance_name | 包含主实例目录,这是特定于用户的目录位置,以及自定义配置文件、配置文件、证书数据库、Web 文件,以及子系统实例的其他文件的位置。 | |||||
| /usr/share/java/pki | 包含由证书系统子系统共享的 Java 存档文件。除了所有子系统的共享文件外,子文件夹中还有特定于子系统的文件:
| |||||
| /usr/share/pki | 包含用于创建证书系统实例的常用文件和模板。除了所有子系统的共享文件外,子文件夹中还有特定于子系统的文件:
| |||||
| /usr/bin | 包含 pkispawn 和 pkidestroy 实例配置脚本,以及由证书系统子系统共享的 Java、原生和安全性。 | |||||
| /var/lib/tomcat5/common/lib | 包含指向本地 Tomcat Web 应用程序共享的 Java 归档文件的链接,并由证书系统子系统共享。不是由 TPS 子系统使用。 | |||||
| /var/lib/tomcat5/server/lib | 包含本地 Tomcat Web 服务器使用的 Java 归档文件的链接,并由证书系统子系统共享。不是由 TPS 子系统使用。 | |||||
| /usr/shared/pki | 包含 Tomcat 服务器以及证书系统实例使用的应用程序所使用的 Java 归档文件。不是由 TPS 子系统使用。 | |||||
| 包含 TPS 子系统使用的 Apache 模块。没有被 CA、KRA、OCSP 或 TKS 子系统使用。 | |||||
| TPS 子系统使用的 Mozilla LDAP SDK 工具。没有被 CA、KRA、OCSP 或 TKS 子系统使用。 |
