搜索

第 1 章 身份管理中的公钥证书

download PDF

X.509 公钥证书用于验证身份管理(IdM)中的用户、主机和服务。除了验证外,X.509 证书还支持启用数字签名和加密,以提供隐私性、完整性和不可抵赖性。

证书包含以下信息:

  • 证书验证的主题。
  • 签发者,即签署证书的 CA。
  • 证书有效性的开始和结束日期。
  • 证书的有效使用。
  • 主题的公钥。

由公钥加密的消息只能由对应的私钥解密。虽然证书及其包含的公钥可以公开提供,但用户、主机或服务必须对其私钥保密。

1.1. IdM 中的证书颁发机构

证书颁发机构以信任层次结构运行。在带有内部证书颁发机构(CA)的 IdM 环境中,所有 IdM 主机、用户和服务都信任 CA 签名的证书。除了这个根 CA 外,IdM 还支持子 CA,其 root CA 已授权依次获得签署证书的能力。通常,此类能够签名的子 CA 证书是特定类型的证书,如 VPN 证书。最后,IdM 支持使用外部 CA。 表显示了在 IdM 中使用各个 CA 类型的详情。

表 1.1. 在 IdM 中使用集成和外部 CA 的比较
CA 的名称描述使用有用的链接

ipa CA

基于 Dogtag 上游项目的集成 CA

集成的 CA 可以为用户、主机和服务创建、撤销和发布证书。

使用 ipa CA 请求一个新用户证书并将其导出到客户端

IdM 子 CA

隶属于 ipa CA 的集成 CA

IdM 子 CA 是 ipa CA 授权可以签署证书的 CA。通常,这些证书是特定类型的,如 VPN 证书。

将应用程序限制为只信任证书的子集

外部 CA

外部 CA 是集成 IdM CA 或其子 CA 以外的 CA。

使用 IdM 工具,您可以将这些 CA 发布的证书添加到用户、服务或主机,也可以删除它们。

管理 IdM 用户、主机和服务的外部签名证书

从证书的角度来看,自签名的 IdM CA 签名的和外部签名的证书之间没有区别。

CA 的角色包括以下目的:

  • 它发布数字证书。
  • 通过签署证书,它证明证书中命名的对象拥有一个公钥。主题可以是用户、主机或服务。
  • 它可以撤销证书,并通过证书撤销列表(CRL)和在线证书状态协议(OCSP)提供撤销状态。

其它资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.