搜索

第 19 章 使用 certmonger 为服务获取 IdM 证书

download PDF

19.1. certmonger 概述

当使用集成的 IdM 证书颁发机构(CA)安装 Identity Management(IdM)时,它使用 certmonger 服务来跟踪和续订系统和服务证书。当证书达到其过期日期时,certmonger 将通过以下方式管理续订过程:

  • 使用原始请求中提供的选项重新生成一个证书签名请求(CSR)。
  • 使用 IdM API cert-request 命令将 CSR 提交到 IdM CA。
  • 从 IdM CA 接收证书。
  • 如果原始请求指定了,则执行 pre-save 命令。
  • 在续订请求中指定的位置安装新证书:在 NSS 数据库中或在文件中。
  • 如果由原始请求指定,则执行 post-save 命令。例如,post-save 命令可指示 certmonger 重启相关服务,以便服务获取新证书。

证书 certmonger 跟踪的类型

证书可以分为系统和服务证书。

与服务证书(例如 HTTPLDAPPKINIT)不同,它们在不同服务器上有不同的密钥对和主题名称,IdM 系统证书及其密钥由所有 CA 副本共享。IdM 系统证书包括:

  • IdM CA 证书
  • OCSP 签名证书
  • IdM CA 子系统证书
  • IdM CA 审计签名证书
  • IdM 续订代理 (RA)证书
  • KRA 传输和存储证书

certmonger 服务跟踪安装带有集成 CA 的 IdM 环境期间请求的 IdM 系统和服务证书。certmonger 还跟踪系统管理员为 IdM 主机上运行的其他服务手动请求的证书。certmonger 不跟踪外部 CA 证书或用户证书。

certmonger 组件

certmonger 服务由两个主要组件组成:

  • certmonger 守护进程,即引擎跟踪证书列表和启动续订命令
  • 命令行界面 (CLI)的 getcert 工具,它允许系统管理员将命令主动发送到 certmonger 守护进程。

更具体地说,系统管理员可以将 getcert 工具用于:

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.