5.2.2. 使用服务器侧密钥生成 CSR

许多新版本的浏览器(包括 Firefox v69 和 up 以及 Chrome)都已删除了生成 PKI 密钥的功能,以及对 CRMF 进行密钥归档的支持。在 RHEL 上,可以使用 CLI(如 CRMFPopClient --help)或 pki (请参阅 pki client-cert-request --help)作为临时解决方案。
自引入令牌密钥管理系统(TMS)起,服务器端密钥注册时间已足够长,可在 KRA 中生成密钥,而不是在智能卡上本地生成密钥。Red Hat Certificate System 9 现在采用类似的机制来解决浏览器 keygen deficiy 问题。密钥在服务器上生成(特别是在 KRA 上),然后安全地传送回 PKCS#12 中的客户端。
注意
强烈建议您只对加密证书使用 Server-Side Keygen 机制。

5.2.2.1. 功能亮点

  • 证书请求密钥在 KRA 上生成(注意:必须安装 KRA 才能使用 CA)
  • 配置集默认插件 serverKeygenUserKeyDefaultImpl 提供选择来启用或禁用密钥存档(例如,enableArchival 参数)
  • 支持 RSA 和 EC 密钥
  • 支持手动(代理)批准和自动批准(例如,基于目录密码)