13.6. 查看安全域配置
安全域 是 PKI 服务的注册表。PKI 服务(如 CA)在这些域中注册有关自身的信息,以便 PKI 服务用户可以通过检查注册表来查找其他服务。CertificateCertificate Systemnbsp 中的安全域服务;System 为证书证书系统nbsp;System 子系统和一组共享的信任策略同时管理 PKI 服务注册。
安全域自动管理子系统之间的信任关系,因此如果 TPS、TKS 和 KRA 位于相同的安全域中,它们可以安全地通信。
注意
安全域在子系统配置中使用。设置子系统后,它可以检查安全域 registry,以查看可用的实例。如果需要与另一个实例(如使用 TKS 和 KRA)操作的 TPS 和 KRAS 创建可信关系,则会使用安全域在所选 TKS 和 KRA 实例上创建 TPS 代理用户。
注册表提供对该域中子系统提供的所有 PKI 服务的完整视图。每个证书证书系统nbsp;System 子系统必须是主机或者安全域的成员。
只有 CA 可以托管和管理安全域。每个 CA 都有自己的 LDAP 条目,而安全域是该 CA 条目下面的机构组:
ou=Security Domain,dc=example,dc=com
然后,在安全域组织组下有一个每个子系统类型的列表,具有特殊对象类(pkiSecurityGroup)来识别组类型:
cn=KRAList,ou=Security Domain,dc=example,dc=com objectClass: top objectClass: pkiSecurityGroup cn: KRAList
然后,每个子系统实例都作为该组的成员存储,并带有一个特殊的 pkiSubsystem对象类来标识条目类型:
dn: cn=server.example.com:8443,cn=KRAList,ou=Security Domain,dc=example,dc=com objectClass: top objectClass: pkiSubsystem cn: kra.example.com:8443 host: server.example.com SecurePort: 8443 SecureAgentPort: 8443 SecureAdminPort: 8443 UnSecurePort: 8080 DomainManager: false Clone: false SubsystemName: KRA server.example.com 8443
