2.6. Red Hat Certificate System Services
证书系统具有很多不同的功能,供管理员使用,这样可以更轻松地维护单个子系统和 PKI 作为一个整体。
2.6.1. 通知
发生特定事件时,如签发或撤销证书时,可以将通知直接发送到指定的电子邮件地址。通知框架附带可以启用和配置的默认模块。
2.6.2. Jobs
自动化作业以定义的间隔运行。
2.6.3. 日志记录
证书系统和每个子系统会生成大量系统和错误日志,这些日志记录系统事件以便监控和调试系统。所有日志记录都存储在本地文件系统中,以便快速检索。日志可以被配置,因此可以为特定类型的事件和所需的日志记录级别创建日志。
证书系统允许在日志归档或分发日志以进行审核之前进行数字签名。此功能允许在签名后检查日志文件进行篡改。
2.6.4. Auditing
证书系统为所有事件维护审计日志,如请求、发布和撤销证书并发布 CRL。这些日志然后被签名。这允许检测到授权访问或活动。然后,外部审核员可以在需要时审核系统。分配的 auditor 用户帐户是唯一能够查看已签名的审计日志的帐户。此用户的证书用于签名和加密日志。审计日志记录配置为指定日志记录的事件。
2.6.5. 自助测试
证书系统为系统自我测试提供了框架,它们在启动时自动运行并可按需运行。证书系统中已包含一组可配置的自测试。
2.6.6. 用户、授权和访问控制
证书系统用户可以分配到组(也称为角色),然后具有他们所属的组的权限。用户仅具有创建用户的子系统实例的特权,以及该用户所属的组的特权。
身份验证 意味着,证书系统子系统用来验证客户端的身份,无论它们是否对证书配置文件或其中一个服务接口进行身份验证。客户端可以通过多种方式执行身份验证,包括简单用户名/密码、SSL/TLS 客户端身份验证、LDAP 身份验证、NIS 身份验证或 CMC。可以为子系统的任何访问权限执行身份验证;例如,配置文件定义请求者如何向 CA 进行身份验证。
在确定并验证客户端后,子系统会执行 授权检查 来确定允许对特定用户的子系统的访问级别。
授权与组或角色关联,权限不直接与单个用户关联。证书系统提供了一个授权框架,用于创建组并为这些组分配访问控制。可以修改预先存在的组的默认访问控制,也可以将访问控制分配给单个用户和 IP 地址。为系统的主部分创建授权访问点,并且可以为每个点设置访问控制规则。
2.6.6.1. 默认管理角色
注意
Red Hat Certificate System 在提供给用户的权限上下文中互换使用词语 角色和 组。
证书系统默认配置为系统具有不同的访问级别的三种用户类型:
- 管理员可以为 子系统执行任何管理或配置任务。
- 代理,执行 PKI 管理任务,如批准证书请求、管理令牌注册或恢复密钥。
- 审核员,可以查看和配置审计日志。
注意
默认情况下,为了 bootstrap,在运行
pkispawn 工具时,在 Red Hat Certificate System 实例创建过程中创建管理用户处理管理员和代理特权。此 bootstrap 管理员默认使用 caadmin 用户名,但可以被传递给 pkispawn 命令的配置文件中的 pki_admin_uid 参数覆盖。bootstrap 管理员的目的是创建第一个管理员和代理用户。此操作需要管理员特权来优化用户和组,以及代理特权来发布证书。
2.6.6.2. 内置子系统信任角色
此外,创建安全域时,托管域的 CA 子系统会自动被授予 Security Domain Administrator 的特殊角色,这使得子系统能够管理安全域及其中的子系统实例。可以为不同的子系统实例创建其他安全域管理员角色。这些特殊角色不应具有实际的用户作为成员。
