第 14 章 证书系统配置文件
每个子系统的主配置文件都是其
CS.cfg
文件。本章论述了编辑 CS.cfg
文件的基本信息。本章还介绍了子系统使用的一些其他有用配置文件,如密码和 Web 服务文件。
14.1. 证书系统子系统的文件和目录位置
证书系统服务器由 Apache Tomcat 实例组成,其中包含 一个或多个子系统。每个子系统包含一个 Web 应用,它处理特定类型的 PKI 功能请求。
可用的子系统有:CA、KRA、OCSP、TKS 和 TPS。每个实例只能包含每种 PKI 子系统之一。
子系统可以使用 pkispawn 命令在特定的实例中安装。
14.1.1. 实例特定信息
有关默认实例(pki-tomcat)的实例信息,请参阅 ???
端口类型 | 端口号 | 备注 |
---|---|---|
安全端口 | 8443 | 用于通过 HTTPS 通过最终用户、代理和管理员访问 PKI 服务的主要端口。 |
不安全的端口 | 8080 | 用于通过 HTTP 对一些端点功能进行非安全访问服务器。用于提供已签名的 CRL,因此不需要加密。 |
AJP 端口 | 8009 | 用于通过 AJP 连接从前端 Apache 代理服务器访问服务器。重定向到 HTTPS 端口。 |
Tomcat 端口 | 8005 | 由 Web 服务器使用。 |
14.1.2. CA 子系统信息
本节包含有关 CA 子系统的详细信息,这是可作为 Web 应用在证书服务器实例中安装的可能子系统之一。
设置 | 值 |
---|---|
主目录 | /var/lib/pki/pki-tomcat/ca/ |
配置目录 | /var/lib/pki/pki-tomcat/ca/conf/[a] |
配置文件 | /var/lib/pki/pki-tomcat/ca/conf/CS.cfg |
子系统证书 | CA 签名证书 |
OCSP 签名证书(用于 CA 的内部 OCSP 服务) | |
TLS 服务器证书 | |
审计日志签名证书 | |
子系统证书[b] | |
安全数据库 | /var/lib/pki/pki-tomcat/alias/[c] |
日志文件 | /var/log/pki/pki-tomcat/ca/logs/[d] |
安装日志 | /var/log/pki/pki-ca-spawn.date.log |
卸载日志 | /var/log/pki/pki-ca-destroy.date.log |
审计日志 | /var/log/pki/pki-tomcat/ca/signedAudit/ |
配置集文件 | /var/lib/pki/pki-tomcat/ca/profiles/ca/ |
电子邮件通知模板 | /var/lib/pki/pki-tomcat/ca/emails/ |
Web 服务文件 | 代理服务: /var/lib/pki/pki-tomcat/ca/webapps/ca/agent/ |
管理服务: /var/lib/pki/pki-tomcat/ca/webapps/ca/admin/ | |
最终用户服务: /var/lib/pki/pki-tomcat/ca/webapps/ca/ee/ | |
[a]
别名化为 /etc/pki/pki-tomcat/ca/
[b]
子系统证书始终由安全域发布,以便需要客户端身份验证的域级别操作基于此子系统证书。
[c]
请注意,所有子系统证书都存储在实例安全数据库中
[d]
别名化为 /var/lib/pki/pki-tomcat/ca
|
14.1.3. KRA 子系统信息
本节包含有关 KRA 子系统的详细信息,这是可作为 Web 应用在证书服务器实例中安装的可能子系统之一。
设置 | 值 |
---|---|
主目录 | /var/lib/pki/pki-tomcat/kra/ |
配置目录 | /var/lib/pki/pki-tomcat/kra/conf/[a] |
配置文件 | /var/lib/pki/pki-tomcat/kra/conf/CS.cfg |
子系统证书 | 传输证书 |
存储证书 | |
TLS 服务器证书 | |
审计日志签名证书 | |
子系统证书[b] | |
安全数据库 | /var/lib/pki/pki-tomcat/alias/[c] |
日志文件 | /var/lib/pki/pki-tomcat/kra/logs/ |
安装日志 | /var/log/pki/pki-kra-spawn-date.log |
卸载日志 | /var/log/pki/pki-kra-destroy-date.log |
审计日志 | /var/log/pki/pki-tomcat/kra/signedAudit/ |
Web 服务文件 | 代理服务: /var/lib/pki/pki-tomcat/kra/webapps/kra/agent/ |
管理服务: /var/lib/pki/pki-tomcat/kra/webapps/kra/admin/ | |
[a]
链接到 /etc/pki/pki-tomcat/kra/
[b]
子系统证书始终由安全域发布,以便需要客户端身份验证的域级别操作基于此子系统证书。
[c]
请注意,所有子系统证书都存储在实例安全数据库中
|
14.1.4. OCSP 子系统信息
本节包含有关 OCSP 子系统的详细信息,这是可作为证书服务器实例中的 Web 应用安装的可能子系统之一。
设置 | 值 |
---|---|
主目录 | /var/lib/pki/pki-tomcat/ocsp/ |
配置目录 | /var/lib/pki/pki-tomcat/ocsp/conf/[a] |
配置文件 | /var/lib/pki/pki-tomcat/ocsp/conf/CS.cfg |
子系统证书 | 传输证书 |
存储证书 | |
TLS 服务器证书 | |
审计日志签名证书 | |
子系统证书[b] | |
安全数据库 | /var/lib/pki/pki-tomcat/alias/[c] |
日志文件 | /var/lib/pki/pki-tomcat/ocsp/logs/ |
安装日志 | /var/log/pki/pki-ocsp-spawn-date.log |
卸载日志 | /var/log/pki/pki-ocsp-destroy-date.log |
审计日志 | /var/log/pki/pki-tomcat/ocsp/signedAudit/ |
Web 服务文件 | 代理服务: /var/lib/pki/pki-tomcat/ocsp/webapps/ocsp/agent/ |
管理服务: /var/lib/pki/pki-tomcat/ocsp/webapps/ocsp/admin/ | |
[a]
链接到 /etc/pki/pki-tomcat/ocsp/
[b]
子系统证书始终由安全域发布,以便需要客户端身份验证的域级别操作基于此子系统证书。
[c]
请注意,所有子系统证书都存储在实例安全数据库中
|
14.1.5. TKS 子系统信息
本节包含有关 TKS 子系统的详细信息,这是可作为证书服务器实例中的 Web 应用程序安装的可能子系统之一。
设置 | 值 |
---|---|
主目录 | /var/lib/pki/pki-tomcat/tks/ |
配置目录 | /var/lib/pki/pki-tomcat/tks/conf/[a] |
配置文件 | /var/lib/pki/pki-tomcat/tks/conf/CS.cfg |
子系统证书 | 传输证书 |
存储证书 | |
TLS 服务器证书 | |
审计日志签名证书 | |
子系统证书[b] | |
安全数据库 | /var/lib/pki/pki-tomcat/alias/[c] |
日志文件 | /var/lib/pki/pki-tomcat/tks/logs/ |
安装日志 | /var/log/pki/pki-tks-spawn-date.log |
卸载日志 | /var/log/pki/pki-tks-destroy-date.log |
审计日志 | /var/log/pki/pki-tomcat/tks/signedAudit/ |
Web 服务文件 | 代理服务: /var/lib/pki/pki-tomcat/tks/webapps/tks/agent/ |
管理服务: /var/lib/pki/pki-tomcat/tks/webapps/tks/admin/ | |
[a]
链接到 /etc/pki/pki-tomcat/tks/
[b]
子系统证书始终由安全域发布,以便需要客户端身份验证的域级别操作基于此子系统证书。
[c]
请注意,所有子系统证书都存储在实例安全数据库中
|
14.1.6. TPS 子系统信息
本节包含有关 TPS 子系统的详细信息,这是可作为 Web 应用在证书服务器实例中安装的可能子系统之一。
设置 | 值 |
---|---|
主目录 | /var/lib/pki/pki-tomcat/tps |
配置目录 | /var/lib/pki/pki-tomcat/tps/conf/[a] |
配置文件 | /var/lib/pki/pki-tomcat/tps/conf/CS.cfg |
子系统证书 | 传输证书 |
存储证书 | |
TLS 服务器证书 | |
审计日志签名证书 | |
子系统证书[b] | |
安全数据库 | /var/lib/pki/pki-tomcat/alias/[c] |
日志文件 | /var/lib/pki/pki-tomcat/tps/logs/ |
安装日志 | /var/log/pki/pki-tps-spawn-date.log |
卸载日志 | /var/log/pki/pki-tps-destroy-date.log |
审计日志 | /var/log/pki/pki-tomcat/tps/signedAudit/ |
Web 服务文件 | 代理服务: /var/lib/pki/pki-tomcat/tps/webapps/tps/agent/ |
管理服务: /var/lib/pki/pki-tomcat/tps/webapps/tps/admin/ | |
[a]
链接到 /etc/pki/pki-tomcat/tps/
[b]
子系统证书始终由安全域发布,以便需要客户端身份验证的域级别操作基于此子系统证书。
[c]
请注意,所有子系统证书都存储在实例安全数据库中
|
14.1.7. 共享证书系统子系统文件位置
有一些目录供所有证书系统子系统实例用于常规服务器操作,列在 ??? 中。
目录位置 | 内容 | |||||
---|---|---|---|---|---|---|
/var/lib/instance_name | 包含主实例目录,这是特定于用户的目录位置,以及自定义配置文件、配置文件、证书数据库、Web 文件,以及子系统实例的其他文件的位置。 | |||||
/usr/share/java/pki | 包含由证书系统子系统共享的 Java 存档文件。除了所有子系统的共享文件外,子文件夹中还有特定于子系统的文件:
| |||||
/usr/share/pki | 包含用于创建证书系统实例的常用文件和模板。除了所有子系统的共享文件外,子文件夹中还有特定于子系统的文件:
| |||||
/usr/bin | 包含 pkispawn 和 pkidestroy 实例配置脚本,以及由证书系统子系统共享的 Java、原生和安全性。 | |||||
/var/lib/tomcat5/common/lib | 包含指向本地 Tomcat Web 应用程序共享的 Java 归档文件的链接,并由证书系统子系统共享。不是由 TPS 子系统使用。 | |||||
/var/lib/tomcat5/server/lib | 包含本地 Tomcat Web 服务器使用的 Java 归档文件的链接,并由证书系统子系统共享。不是由 TPS 子系统使用。 | |||||
/usr/shared/pki | 包含 Tomcat 服务器以及证书系统实例使用的应用程序所使用的 Java 归档文件。不是由 TPS 子系统使用。 | |||||
| 包含 TPS 子系统使用的 Apache 模块。没有被 CA、KRA、OCSP 或 TKS 子系统使用。 | |||||
| TPS 子系统使用的 Mozilla LDAP SDK 工具。没有被 CA、KRA、OCSP 或 TKS 子系统使用。 |