13.5. 配置 LDAP 数据库
- 存储和检索证书请求
- 存储和检索证书记录
- 存储 CRL
- 存储 ACL
- 存储特权用户和角色信息
- 存储和检索最终用户的加密密钥记录
为实现这些功能,证书证书证书系统:System 与 Red Hat Directory Server(称为内部数据库或 本地数据库 )整合在一起。目录服务器被引用为 CertificateCertificate Systemnbsp;System configuration;System configuration; when CertificateCertificate Systemnbsp;System 子系统时,会在 Directory Server 中创建一个新数据库。这个数据库由 CertificateCertificate Systemnbsp 专门用作嵌入式数据库;System instance and 可以使用 Directory Server 附带的目录管理工具进行管理。
CertificateCertificate Systemnbsp;System instance 数据库列出了 serverRoot
/slapd-
DS_name/db/
目录中的其他 Directory Server 数据库。这些数据库通过 /etc/pki/default.cfg
文件中的 pki_ds_database
变量的值确定的值(CS_instance_name-CA,CS_instance_name-KRA,CS_instance_name-OCSP OCSP ,CS_instance_name-TKS, CS_instance_name-TPS 默认是实例配置期间给出的默认格式。例如,对于名为 ca1 的证书管理器,数据库名称为 ca1-CA。同样,数据库名称由 /etc/pki/default.cfg
文件中的 pki_ds_base_dn
变量的值决定,(o=CS_instance_name-CA, o=CS_instance_name-KRA, o=CS_instance_name-OCSP, o=CS_instance_name-OCSP, O=CS_instance_name-TKS,默认是 o=CS_instance_name-TPS,也在配置期间设置。
子系统使用数据库来存储不同的对象。证书管理器存储所有数据、证书请求、证书、CRL 和相关信息,而 KRA 则只存储密钥记录和相关数据。
警告
13.5.1. 更改内部数据库配置
要更改子系统实例用作内部数据库的 Directory 服务器实例:
- 登录子系统管理控制台。
pkiconsole https://server.example.com:admin_port/subsystem_type
- 在 Configuration 选项卡中,选择 Internal Database 选项卡。
- 通过更改主机名、端口和绑定 DN 字段来更改目录服务器实例。hostname 是安装 Directory 服务器的机器的完全限定主机名,如 certificate. example.com。CertificateCertificate Systemnbsp;System 使用此名称来访问目录。默认情况下,用作内部数据库的 Directory 服务器实例的主机名显示为 localhost,而不是实际主机名。这是为了防止内部数据库在系统外部可见,因为 localhost 上的服务器只能从本地计算机进行访问。因此,默认配置可最大程度减少从本地机器外连接到这个目录服务器实例的风险。如果内部数据库的可见性仅限于本地子网,可以将主机名更改为 localhost 以外的其他名称。例如,如果证书Certificate Systemnbsp;System 和 Directory Server 安装在单独的机器上以进行负载平衡,请指定安装目录服务器的机器的主机名。端口号是用于与 Directory 服务器的非 SSL 通信的 TCP/IP 端口。DN 应该是 Directory Manager DN。CertificateCertificate Systemnbsp;System 子系统在访问目录树与目录通信时使用此 DN。
- 点。配置已被修改。如果更改需要重新启动服务器,则会出现包含该消息的提示。在这种情况下,重启服务器。