13.3. 打开 subsystem 控制台和服务

每个子系统具有不同的接口,可供不同的用户类型访问。除 TKS 外,所有子系统都有某种 Web 服务页面,适用于代理、管理员或最终用户(或全部三个)。此外,CA、KRA、OCSP 和 TKS 均具有基于 Java 的控制台,必须在服务器上安装该控制台,以执行管理任务来管理子系统本身。
对于基于 Web 的 Web 服务页面而言,可以定制基于 Web 的外观和有限程度的功能,以更好地与组织的现有网站集成。请参阅 红帽认证系统规划、安装和部署指南

13.3.1. 查找 subsystem Web Services 页面

CA、KRA、OCSP、TKS 和 TPS 子系统有用于代理、常规用户和管理员的 Web 服务页面。可通过通过子系统的安全最终用户端口打开到子系统主机的 URL 来访问这些 Web 服务菜单。例如,对于 CA:
https://server.example.com:8443/ca/services
每个子系统的主要 Web 服务页面都有可用的服务页面列表,在 表 13.1 “默认网页” 中进行了概述。要具体访问任何服务,请访问适当的端口,并将适当的目录附加到 URL。例如,访问 CA 的最终实体(普通用户)Web 服务:
https://server.example.com:8443/ca/ee/ca
如果正确配置了 DNS,那么可以使用 IPv4 或 IPv6 地址连接到服务页面。例如:
https://1.2.3.4:8443/ca/services
https://[00:00:00:00:123:456:789:00:]:8443/ca/services
有些子系统接口需要客户端身份验证才能访问,通常是与代理或管理员角色关联的接口。其他接口,即使在安全(SSL 连接)中运行也不需要客户端身份验证。其中一些接口(如端到端的实体服务)可以配置为要求进行客户端身份验证,但其他部分不能被配置为支持客户端身份验证。这些区别包括在 表 13.1 “默认网页” 中。
注意
任何人都可以访问子系统的最终用户页面,但访问代理或管理 Web 服务页面都需要在 Web 浏览器中发布并安装代理或管理员证书,或者对 Web 服务进行身份验证会失败。

表 13.1. 默认网页

用于 SSL 用于客户端身份验证[a] Web 服务 Web 服务位置
证书管理器    
结束实体 ca/ee/ca/
结束实体 ca/ee/ca
代理 ca/agent/ca
服务 ca/services
控制台(Console) pkiconsole https://host:port/ca
密钥恢复授权    
代理 kra/agent/kra
服务 kra/services
控制台(Console) pkiconsole https://host:port/kra
在线证书状态管理器    
代理 ocsp/agent/ocsp
服务 ocsp/services
控制台(Console) pkiconsole https://host:port/ocsp
令牌密钥服务    
服务 tks/services
控制台(Console) pkiconsole https://host:port/tks
令牌处理系统    
服务 index.cgi
[a] 带有客户端身份验证值的服务可以重新配置为 No,以要求进行客户端身份验证。没有 YesNo 值的服务不能配置为使用客户端身份验证。