搜索
支持控制台(Console)开发人员开始试用联系人

2.4. CS 10.4 中已知的问题

download PDF

这部分论述了用户在 Red Hat Certificate System 10.4 中应该了解的已知问题,以及(如果适用)临时解决方案。

TPS 需要添加匿名绑定 ACI 访问

在以前的版本中,默认允许匿名绑定 ACI,但现在在 LDAP 中被禁用。因此,这可以防止注册或格式化 TPS 智能卡。

要临时解决这个问题,直到修复前,您需要在目录服务器中添加匿名绑定 ACI: 

$ ldapmodify -D "cn=Directory Manager" -W -x -p 3389 -h hostname -x <<EOF
dn: dc=example,dc=org
changetype: modify
add: aci
aci: (targetattr!="userPassword || aci")(version 3.0; acl "Enable anonymous access"; allow (read, search, compare) userdn="ldap:///anyone";)
EOF

pki-core 软件包中的已知问题:

因为 auditSigningCert缺少属性,使用 HSM 克隆 KRA 会失败

当使用 HSM 克隆 KRA 时,auditSigningCert 信任属性 u,u,Pu 应该隐式在 master 和克隆间的 alias DB 中同步。但是,它现在无法在克隆的别名 DB 中复制。因此,使用 HSM 克隆 KRA 会失败,并显示 auditSigningCert cert-topology-02-KRA KRA is invalid: Invalid certificate: (-8101)证书类型没有为应用程序批准

要临时解决这个问题,您必须在克隆 KRA 的别名 DB 中明确为 auditSigningCert 添加 u,u,Pu trust 属性,并重新启动实例。例如:

  • 在临时解决方案前: 

    # certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J
  Enter Password or Pin for "token":
  certutil: certificate is invalid: Certificate type not approved for application.

  • 在临时解决方案后: 

    # certutil -M -d /var/lib/pki/clone-KRA/alias/ -n 'token:auditSigningCert cert-topology-02-KRA KRA' -t u,u,Pu
# certutil -vv -V -d /var/lib/pki/clone-KRA/alias/ -h nfast -n 'token:auditSigningCert cert-topology-02-KRA KRA' -u J
  Enter Password or Pin for "token":
  certutil: certificate is valid

使用带有 --agent-uid pkidbuser 选项的 cert-fix 工具会破坏证书系统

使用带有 --agent-uid pkidbuser 选项的 cert-fix 工具会破坏证书系统的 LDAP 配置。因此,证书系统可能会变得不稳定,需要手动步骤才能恢复该系统。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.