8.12. 更新目录中的证书和 CRL
如果在 Directory 服务器停机期间签发或撤销证书,则证书管理器和发布目录可能会不同步。发布或撤销的证书需要在 Directory 服务器备份时手动发布或取消发布。
要找到与目录不同步的证书 - 不在目录中有效证书,并撤销了仍在目录中或过期的证书 - 证书管理器会在其内部数据库中保留一条记录,无论其内部数据库中的证书是否已发布到该目录。如果证书管理器和发布目录未同步,请使用证书管理器代理服务页面中的 Update Directory 选项,将发布目录与内部数据库同步。
以下选择可用于与内部数据库同步目录:
- 搜索不同步和发布或未发布或取消发布的证书的内部数据库。
- 发布在 Directory 服务器停机期间发布的证书。同样,未发布在 Directory 服务器停机期间被撤销或过期的证书。
- 根据序列号发布或取消发布范围证书,从序列号 xx 向序列号 yy。
8.12.1. 手动更新目录中的证书
- 使用证书更新目录。
- 从目录中删除过期的证书。通过调度自动作业,可以从发布目录中删除过期的证书。详情请查看 第 12 章 设置自动化任务。
- 从目录中删除撤销的证书。
通过执行以下操作手动更新目录:
- 打开证书管理器代理服务页面。
- 选择 Update Directory Server 链接。
- 选择适当的选项,然后单击 Update Directory。证书管理器开始使用其内部数据库中的证书信息来更新目录。如果更改非常大,更新目录可能需要较长时间。在此期间,通过证书管理器进行的任何更改,包括发布任何证书或被撤销的任何证书,则可能不会包含在更新中。如果在更新目录的同时发布或撤销任何证书,请再次更新目录以反映这些更改。
目录更新完成后,证书管理器会显示状态报告。如果进程中断,服务器会记录错误消息。
如果证书管理器作为 root CA 安装,则在使用代理接口更新带有有效证书的目录时,可以使用发布规则为用户证书发布 CA 签名证书。这可能会返回一个对象类违反错误,或者映射器中的其他错误。选择适当的序列号范围来排除 CA 签名证书,可以避免此问题。CA 签名证书是第一个证书 root CA 问题。
- 通过将 predicate 参数的值更改为 profileId!=caCACert 来修改用户证书的默认发布规则。
- 使用 LdapCaCertPublisher publisher 插件模块添加另一个规则,使用 predicate 参数设置为 profileId=caCACert,以发布子协调 CA 证书。
