第 11 章 使用 IdM CA 续订服务器
11.1. IdM CA 续订服务器解释
在使用嵌入式证书颁发机构(CA)的 Identity Management(IdM)部署中,CA 续订服务器维护并更新 IdM 系统证书。它确保了强大的 IdM 部署。
IdM 系统证书包括:
-
IdM CA
证书 -
OCSP
签名证书 -
IdM CA 子系统
证书 -
IdM CA 审计签名
证书 -
IdM 续订代理
(RA)证书 -
KRA
传输和存储证书
对系统证书进行定性的特征是,它们的密钥由所有 CA 副本共享。相比之下,IdM 服务证书(如 LDAP
、HTTP
和 PKINIT
证书)在不同的 IdM CA 服务器上具有不同的密钥对和主题名称。
在 IdM 拓扑中,默认情况下,第一个 IdM CA 服务器是 CA 续订服务器。
在上游文档中,IdM CA 称为 Dogtag
。
CA 续订服务器的角色
IdM CA
、IdM CA 子系统
和 IdM RA
证书对 IdM 部署至关重要。每个证书都存储在 /etc/pki/pki-tomcat/
目录中的 NSS 数据库以及 LDAP 数据库条目中。存储在 LDAP 中的证书必须与存储在 NSS 数据库中的证书匹配。如果不匹配,在 IdM 框架和 IdM CA 之间以及 IdM CA 和 LDAP 之间会发生身份验证失败。
所有 IdM CA 副本都有针对每个系统证书的跟踪请求。如果带有集成 CA 的 IdM 部署不包含 CA 续订服务器,则每个 IdM CA 服务器都会单独请求续订系统证书。这会导致发生各种系统证书和身份验证失败的不同 CA 副本。
将一个 CA 副本用作续订服务器,可以在需要时完全续订一次系统证书,从而避免身份验证失败。
CA 副本上的 cert
monger 服务的角色
在所有 IdM CA 副本上运行的 certmonger 服务
使用 dogtag-ipa-ca-renew-agent
续订帮助程序来跟踪 IdM 系统证书。续订帮助程序读取 CA 续订服务器配置。在不是 CA 续订服务器的每个 CA 副本上,续订帮助程序从 ca_renewal
LDAP 条目检索最新的系统证书。由于正好发生 证书续订
尝试时,dog tag-ipa-ca-renew-agent
帮助程序有时会在 CA 续订服务器实际续订证书前尝试更新系统证书。如果发生这种情况,旧的、即将扩展的证书将返回到 CA 副本上的 certmonger 服务
。在意识到它 的证书服务
已存储在其数据库中,证书服务会一直尝试在单独尝试之间延迟更新证书,直到它可以从 CA 续订服务器检索更新的证书。
IdM CA 续订服务器正常功能
带有嵌入式 CA 的 IdM 部署是一个 IdM 部署,安装有 IdM CA - 或者稍后安装了 IdM CA 服务器。带有嵌入式 CA 的 IdM 部署必须始终有一个 CA 副本配置为续订服务器。续订服务器必须在线且功能完整,并且必须与其他服务器正确复制。
如果正在使用 ipa server-del
、ipa-replica-manage del
、ipa-csreplica-manage del
或 ipa-server-install --uninstall
命令删除当前的 CA 续订服务器,则另一个 CA 副本会自动被分配为 CA 续订服务器。此策略确保续订服务器配置保持有效。
该政策不包括以下情况: