Red Hat Training

A Red Hat training course is available for RHEL 8

第 46 章 Identity Management 中的公钥证书

本章论述了 X.509 公钥证书,用于验证身份管理(IdM)中的用户、主机和服务。除了验证外,X.509 证书还支持数字签名和加密,以提供隐私性、完整性和非解析。

证书包含以下信息:

  • 证书验证的主题。
  • 签发者,即签署证书的 CA。
  • 证书的有效性开始和结束日期。
  • 证书的有效使用。
  • 主题的公钥。

由公钥加密的消息只能由对应的私钥解密。虽然证书和公钥可以公开发布,但用户、主机或服务必须保存其私钥机密。

46.1. IdM 中的证书颁发机构

证书颁发机构以信任层次结构运行。在带有内部证书颁发机构(CA)的 IdM 环境中,所有 IdM 主机、用户和服务信任 CA 签名的证书。除了这个根 CA 外,IdM 还支持子 CA,其 root CA 获得了在其中为证书签名的能力。通常,此类子 CA 能够签名的证书是特定类型的证书,如 VPN 证书。最后,IdM 支持使用外部 CA。下表显示了在 IdM 中使用独立 CA 的详情。

表 46.1. 在 IdM 中使用集成外部 CA 的比较

CA 的名称描述使用有用的链接

ipa CA

基于 Dogtag 上游项目的集成 CA

集成的 CA 可以为用户、主机和服务创建、撤销和发布证书。

使用 ipa CA 请求一个新用户证书并将其导出到客户端

IdM sub-CAs

属于 ipa CA 的集成 CA

IdM 子 CA 是 ipa CA 授予了签署证书的 CA。通常,这些证书是特定类型的,如 VPN 证书。

将应用程序限制为只信任证书子集

外部 CA

外部 CA 是集成 IdM CA 或其子 CA 以外的 CA。

使用 IdM 工具,您可以将这些 CA 发布的证书添加到用户、服务或主机,并删除它们。

管理 RHEL 7 文档中的外部 CA 发布的证书

从证书的角度来看,由自签名 IdM CA 签名和外部签名之间没有区别。

CA 的角色包括以下目的:

  • 它发布数字证书。
  • 通过签署证书,它证明证书中指定的对象拥有一个公钥。主题可以是用户、主机或服务。
  • 它可以撤销证书,并通过证书撤销列表(CRL)和在线证书状态协议(OCSP)提供撤销状态。

其它资源