Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第 23 章 认证和互操作性
安装后 yum 不再报告软件包冲突 ipa-client
用户安装了 ipa-client 软件包后,
yum 工具意外报告 ipa 和 freeipa 软件包之间的软件包冲突。这些错误在事务失败或者使用 yum check 命令后发生。在这个版本中,yum 不再报告关于自信软件包的错误,因为 RPM 允许冲突。因此,安装 ipa-client 后 yum 不再显示上述错误。(BZ#1370134)
在 FIPS 模式中,现在使用 slapd_pk11_getInternalKeySlot() 功能检索令牌的密钥插槽
在安全数据库中启用了 FIPS 模式时,Red Hat Directory Server 以前会尝试从固定令牌名称检索密钥插槽。但是,令牌名称可能会改变。如果没有找到密钥插槽,Directory 服务器将无法解码复制管理器的密码和复制会话失败。要解决这个问题,slapd_pk11_getInternalKeySlot() 函数现在使用 FIPS 模式来检索当前的密钥插槽。因此,使用
SSL 或 STTARTTLS 的复制会话不再失败。(BZ#1378209)
在 FIPS 模式的系统上,证书系统不再无法安装 HSM
当使用 Thales 硬件安全模块(HSM)安装证书系统(CS)后,如果您在 HSM 上生成了所有系统密钥,则 SSL 协议将无法正常工作。因此,CS 无法在启用了 FIPS 模式的系统中安装,需要您手动修改
server.xml 文件中的 sslRangeCiphers 参数。这个问题已被解决,使用 Thales HSM 安装启用了 FIPS 的系统可以正常工作。(BZ#1382066)
pkispawn 的依赖项列表现在可以正确地包含 openssl
在以前的版本中,当没有安装 openssl 软件包时,使用
pkispawn 工具会失败并显示以下错误:
Installation failed: [Errno 2] No such file or directory
这是因为 openssl 软件包没有作为 pki-server 软件包中所含的 pki-core 软件包的运行时依赖项包含。这个程序错误已被添加缺少的依赖项来解决,
pkispawn 安装不再因为缺少 openssl 而失败。(BZ#1376488)
PKI Server 配置集框架中的错误消息现在传递给客户端
在以前的版本中,PKI 服务器不会通过配置文件框架生成的特定错误消息,由证书请求到客户端。因此,web UI 或 pki 命令的输出中显示的错误消息没有描述请求失败的原因。现在,代码已被修复,现在通过错误消息。现在,用户可以查看注册失败或被拒绝的原因。(BZ#1249400)
证书系统不会在安装过程中启动轻量级 CA 密钥复制
在以前的版本中,证书系统在两个步骤安装过程中错误地启动了轻量级 CA 密钥复制。因此,安装会失败并显示错误。在这个版本中,两个步骤安装不会启动轻量级 CA 密钥复制,安装可以成功完成。(BZ#1378275)
PKI 服务器现在在启动期间正确比较主题 DN
由于常规情况中存在一个为主 CA 添加轻量 CA 条目的一个错误,PKI 服务器以前无法比较主题区分的名称(DN)(如果使用 UTF8String 以外的编码)来比较主题区分名称(DN)。因此,每次启动主 CA 时,都会添加额外的轻量级 CA 条目。PKI 服务器现在以规范形式比较主题 DN。因此,PKI 服务器不再在上述场景中添加其他轻量级 CA 条目。(BZ#1378277)
当连接到带有不完整证书链的中间 CA 时,KRA 安装不再失败
在以前的版本中,如果 KRA 试图连接到具有可信 CA 证书的中间 CA,安装密钥恢复授权(KRA)子系统会失败并显示
UNKNOWN_ISSUER 错误。在这个版本中,KRA 安装会忽略错误并成功完成。(BZ#1381084)
证书配置集中的 startTime 字段现在使用长整数格式
在以前的版本中,证书系统将值保存在证书配置集的
startTime 字段中,作为 整数。如果您输入更大的数字,证书系统会将该值解释为负数。因此,证书认证机构签发包含过去开始日期的证书。在这个版本中,startTime 字段的输入格式被改为一个长整数。因此,签发的证书现在有一个正确的开始日期。(BZ#1385208)
因为一个 PKCS#11 令牌没有记录错误,从属 CA 安装不再会失败
在以前的版本中,因为网络安全服务(NSS)库中的一个错误导致证书颁发机构(sub-CA)安装失败,它会生成 SEC_ERROR_TOKEN_NOT_LOGGED_IN 错误。在这个版本中,为安装程序添加了一个临时解决方案,允许进行安装。如果仍显示错误,它现在可以被忽略。(BZ#1395817)
pkispawn 脚本现在可以正确设置 ECC 密钥大小
在以前的版本中,当用户使用 Elliptic Curve Cryptography(ECC)密钥大小参数设置为不同于默认值(默认为 nistp256 )的 pkispawn 脚本时,设置会被忽略。因此,创建的 PKI 服务器实例发出系统证书,它错误地使用了默认的 ECC 密钥曲线。在这个版本中,PKI 服务器将 pkispawn 配置中设置的值用于 ECC 键曲线名称。因此,PKI 服务器实例现在使用设置实例时设置的 ECC 密钥大小。(BZ#1397200)
使用 FIPS 模式安装的 CA clone 安装不再失败
在以前的版本中,因为处理内部 NSS 令牌名称时,在 FIPS 模式中安装 CA 克隆或密钥恢复授权(KRA)会失败。在这个版本中,处理令牌名称的代码已被合并,以确保一致地处理所有令牌名称。T 允许 KRA 和 CA 克隆安装以 FIPS 模式正确完成。(BZ#1411428)
当 entryUSN 属性包含大于 32 位的值时,PKI 服务器不再启动
在以前的版本中,*LDAP Profile Monitor" 和 lightweight CA Monitor 解析值为 32 位整数的 entryUSN 属性中的轻量级 CA Monitor。因此,当 属性包含大于该值时,会记录
NumberFormatException 错误,服务器无法启动。这个问题已被解决,服务器在上述场景中不再启动。(BZ#1412681)
Tomcat 现在默认用于 IPv6
IPv4- 特定的 127.0.0.1 环回地址之前在默认服务器配置文件中用作默认 AJP 主机名。这会导致连接在 IPv6- 只在 IPv6 中运行的服务器上失败。在这个版本中,默认值更改为 localhost,它可用于 IPv4 和 IPv6 协议。此外,可以使用升级脚本自动更改现有服务器实例上的 AJP 主机名。(BZ#1413136)
pkispawn 不再生成无效的 NSS 数据库密码
在此次更新之前,pkispawn 为
NSS 数据库生成随机密码,在某些情况下包含反斜杠(\)字符。这会在 NSS 建立 SSL 连接时造成问题,从而导致安装失败并显示 ACCESS_SESSION_ESTABLISH_FAILURE 错误。
在这个版本中,可确保随机生成的密码不能包含反斜杠字符,而且始终可以建立连接,从而可以成功完成安装。(BZ#1447762)
当使用 --serial 选项添加用户证书时,证书检索不再失败
使用带有 --serial 参数的 pki user-cert-add 命令使用错误地将
SSL 连接到证书颁发机构(CA),从而导致证书检索失败。在这个版本中,命令使用正确配置的 SSL 连接到 CA,操作现在可以成功完成。(BZ#1246635)
如果只有一个条目,CA Web 界面不再显示空白证书请求页面
在以前的版本中,当 CA Web 用户界面中的证书请求页面仅包含一个条目时,它会显示一个空页面,而不是显示单个条目。在这个版本中,web 用户界面和证书请求页面在所有情况下都正确显示条目。(BZ#1372052)
在容器环境中安装 PKI Server 不再显示警告
在以前的版本中,当在容器环境中安装 pki-server RPM 软件包时,会重新载入
systemd 守护进程。因此,会显示警告。已应用补丁来仅在 RPM 升级过程中重新载入守护进程。因此,在上述场景中不再显示警告。(BZ#1282504)
使用 G&D 智能卡重新注册令牌不再失败
在以前的版本中,当使用 Giesecke 和 Devrient(G&D)智能卡重新注册令牌时,在某些情况下,令牌注册可能会失败。这个问题已被解决,因此重新注册令牌可以正常工作。(BZ#1404881)
PKI Server 提供有关启动时证书验证错误的更多详细信息
在以前的版本中,如果服务器启动时发生证书验证错误,PKI Server 不会提供足够的信息。因此,很难对问题进行故障排除。PKI 服务器现在使用新的 Java 安全服务(JSS)API,它提供有关上述场景中错误原因的更多详细信息。(BZ#1330800)
PKI Server 不再无法重新初始化 LDAPProfileSubsystem 配置集
由于重新初始化
LDAPProfileSubsystem 配置集出现竞争条件,PKI Server 之前可能会错误地报告请求的配置集不存在。因此,使用配置集的请求可能会失败。这个问题已被解决,使用配置集的请求不再失败。(BZ#1376226)
提取 HSM 上生成的私钥不再失败
在以前的版本中,当在 Lunasa 或 Thales 硬件安全模块(HSM)上生成非对称密钥时,在密钥恢复代理(KRA)上使用新的 Asymmetric Key Generation REST 服务设置不正确的标志。因此,用户无法检索生成的私钥。代码已更新,为这些 HSM 上生成的密钥设置正确的标志。现在,用户可以在上述场景中检索私钥。(BZ#1386303)
pkispawn 不再生成只由数字组成的密码
在以前的版本中,pkispawn 可能会为仅包含数字的 NSS 数据库生成随机密码。此类密码与 FIPS 不兼容。在这个版本中,安装程序已被修改,以生成与 FIPS 兼容的随机密码,其包含数字、小写字母、大写字母和某些标点标记。(BZ#1400149)
CA 证书现在使用正确的信任标记导入
在以前的版本中,pki client-cert-import 命令导入了
CT,c, trust 标记的 CA 证书,它们与其他 PKI 工具不一致。在这个版本中,命令已被修复,现在将 CA 证书的信任标记设置为 CT,C,C。(BZ#1458429)
当使用 --usage 验证 选项时生成对称密钥不再会失败
pki 实用程序检查要生成的对称密钥的有效使用列表。在以前的版本中,这个列表缺少了 验证 用法。因此,使用 key-generate --usage verify 选项会返回错误消息。这个代码已被修复,验证 选项可以正常工作。(BZ#1238684)
后续 PKI 安装不再失败
在以前的版本中,当在批处理模式中安装多个公钥基础架构(PKI)实例时,安装脚本不会等到 CA 实例被重启为止。因此,后续 PKI 实例安装可能会失败。脚本已被更新,现在会等待新子系统就绪来处理请求,然后再继续。(BZ#1446364)
在 FIPS 模式中的两步从属 CA 安装不再失败
在以前的版本中,在 FIPS 模式中的从属 CA 安装中的一个错误会导致两个步骤安装失败,因为安装程序需要实例不存在。在这个版本中,会更改工作流,以便第一步(安装)需要实例不存在,第二个步骤(配置)需要实例存在。
两个新的选项"--skip-configuration' 和 --skip-installation 已添加到 pkispawn 命令中,以替换之前的
pki_skip_configuration 和 pki_skip_installation 部署参数。这样,您可以在不修改的情况下对这两个步骤使用相同的部署配置文件。(BZ#1454450)
当证书请求被拒绝或取消时,审计日志不再记录成功
在以前的版本中,当证书请求被拒绝或取消时,服务器会使用
Outcome=Success 生成一个 CERT_REQUEST_PROCESSED 审计日志条目。这是因为请求没有签发证书。这个错误已被修复,被拒绝或已取消的请求的 CERT_REQUEST_PROCESSED 审计日志条目现在显示为 Outcome=Failure。(BZ#1452250)
现在在启动时自动启用自测试失败的 PKI 子系统
在以前的版本中,如果 PKI 子系统因为自测试失败而启动失败,它会被自动禁用以防止它以不一致的状态运行。管理员应使用 pki-server 子系统 手动重新启用子系统,并在修复问题后启用。但是,这并没有明确交流,这可能会导致管理员对这个要求不知的混乱。
要解决该问题,现在默认在启动时自动启用所有 PKI 子系统。如果自测试失败,则子系统会像以前一样被禁用,但它不再需要手动重新启用。
CERT_REQUEST_PROCESSED 审计日志条目现在包含证书序列号,而不是编码的数据
在以前的版本中,
CERT_REQUEST_PROCESSED 审计日志条目包含 Base64 编码的证书数据。例如:
[AuditEvent=CERT_REQUEST_PROCESSED]...[InfoName=certificate][InfoValue=MIIDBD...]
此信息非常有用,因为证书数据需要单独进行解码。代码已被修改,将证书序列号直接包含在日志条目中,如下例所示:
[AuditEvent=CERT_REQUEST_PROCESSED]...[CertSerialNum=7]
(BZ#1452344)
更新 LDAPProfileSubsystem 配置集现在支持删除属性
在以前的版本中,当更新 PKI Server 上的
LDAPProfileSubsystem 配置集时,无法删除属性。因此,在某些情况下,PKI 服务器在更新配置集后无法加载配置集或问题证书。已应用补丁,现在 PKI Server 在载入新配置前清除现有的配置集配置。因此,LDAPProfileSubsystem 配置集中的更新现在可以删除配置属性。(BZ#1445088)