第 4 章 设置密钥存档和恢复
有关密钥存档和恢复的更多信息,请参阅 Red Hat 证书系统规划 、安装和部署指南中的存档激活、恢复和轮转密钥 部分。
本章论述了如何设置密钥恢复授权(KRA),之前被称为 Data Recovery Manager(DRM)归档私钥并恢复用于恢复加密数据的归档密钥。
注意
本章仅讨论通过客户端密钥生成归档密钥。此处不讨论服务器端密钥生成和归档(无论是通过 TPS 启动还是通过 CA 的终止实体门户启动)。
有关智能卡密钥恢复的详情,请参考 第 6.11 节 “设置服务器端密钥生成”。
有关在 CA 的 EE 门户中提供的服务器端密钥生成的详情,请参考 第 5.2.2 节 “使用服务器侧密钥生成 CSR”。
注意
Gemalto SafeNet LunaSA 只支持 CKE - 密钥导出模型中的 PKI 私钥提取,且仅在非FIPS 模式中支持。LunaSA Cloning 模型和 FIPS 模式中的 CKE 模型不支持 PKI 私钥提取。
安装 KRA 后,它会加入安全域,并与 CA 对。因此,它被配置为归档和恢复私钥。但是,如果 KRA 证书由外部 CA 而不是安全域中的其中一个 CA 发布,则必须手动设置密钥存档和恢复过程。
如需更多信息,请参阅 红帽认证系统规划、安装和部署指南中的 手动设置密钥存档 部分。
注意
在克隆的环境中,需要手动设置密钥归档和恢复。如需更多信息,请参阅 Red Hat 证书系统规划、安装和部署指南中的 更新 CA-KRA Connector Information 部分。
4.1. 在控制台中配置代理验证密钥恢复
注意
虽然可以在 控制台中配置密钥恢复代理 数量,而 要使用的组 只能直接在
CS.cfg 文件中设置。默认情况下,控制台使用密钥恢复授权代理组。
- 打开 KRA 的控制台。例如:
pkiconsole https://server.example.com:8443/kra
- 点左侧导航树中的 Key Recovery Authority 链接。
- 在 所需的代理数量字段中,输入用来批准密钥恢复的代理数量。
注意
有关如何在
CS.cfg 文件中配置代理批准的密钥恢复的更多信息,请参阅 红帽证书系统规划、安装和部署指南中的 "配置代理 -Approved Key Recovery "部分。
