20.5. 请求服务证书的证书的通信流

这些图显示了当 certmonger 从身份管理(IdM)证书认证机构(CA)服务器请求服务证书时发生什么情况的阶段。序列由这些图表组成:

在图中,webserver-ca 子 CA 由通用 IdM CA 服务器 表示。

未加密通信 显示初始情况:没有 HTTPS 证书,Web 服务器之间的通信和浏览器未加密。

图 20.3. 未加密的通信

显示运行 Apache Web 服务器和证书器服务的 IdM 客户端的示意图。浏览器和 Apache webserver 之间有箭头,显示它正通过未加密的 HTTP 连接进行连接。有从 certmonger 服务到 IdM CA 服务器的不活跃连接。


请求服务证书的 certmonger 显示系统管理员使用 certmonger 手动为 Apache web 服务器请求 HTTPS 证书。请注意,在请求 Web 服务器证书时,certmonger 不会直接与 CA 通信。它通过 IdM 代理。

图 20.4. Certmonger 请求服务证书

显示 IdM 客户端和 IdM CA 服务器上的 certmonger 服务和 IdM CA 服务器上的箭头图,以显示它正在通过 ipa-getcert 请求进行连接。


发出服务证书的 IdM CA 显示为 web 服务器发出 HTTPS 证书的 IdM CA。

图 20.5. 发布服务证书的 IdM CA

显示 IdM CA 服务器和 IdM 客户端上的 certmonger 服务之间的箭头图 - 显示它正在连接并发送 HTTPS 证书。


Certmonger 应用服务证书显示,certmonger 把 HTTPS 证书放置到 IdM 客户端的正确位置,如果指定,会重启 httpd 服务。随后 Apache 服务器使用 HTTPS 证书来加密自身和浏览器之间的流量。

图 20.6. Certmonger 应用服务证书

显示分配给 Apache Web 服务器的 HTTPS 证书的镜像和分配给证书服务的镜像的示意图。浏览器和 Apache webserver 之间有箭头显示连接现在是加密的 HTTPS 连接。certmonger 服务和 IdM CA 服务器之间的连接不活跃。


当旧证书接近过期时,cert monger 会在证书过期前自动从 IdM CA 续订服务证书。IdM CA 发布一个新证书。

图 20.7. 当旧证书即将过期时,Certmonger 请求一个新证书

显示一个图表,显示 IdM 客户端上 certmonger 服务中连接 IdM CA 服务器的箭头,以显示它正在执行 ipa-getcert 请求。IdM CA 服务器到 Certmonger 的箭头被标记为 HTTPS 证书,以显示它正在将 HTTPS 证书传输到 certmonger 服务。