Menu Close

第 11 章 使用 IdM CA 续订服务器

11.1. IdM CA 续订服务器说明

在使用嵌入式证书颁发机构 (CA) 的 Identity Management (IdM) 部署中,CA 续订服务器维护并更新 IdM 系统证书。它确保了强大的 IdM 部署。

IdM 系统证书包括:

  • IdM CA 证书
  • OCSP 签名证书
  • IdM CA 子系统证书
  • IdM CA 审计签名证书
  • IdM 续订代理 (RA)证书
  • KRA 传输和存储证书

哪个字符化系统证书是其密钥由所有 CA 副本共享。与之相反,IdM 服务证书(如 LDAPHTTPPKINIT 证书)在不同 IdM CA 服务器上有不同的密钥对和主题名称。

在 IdM 拓扑中,默认情况下,第一个 IdM CA 服务器是 CA 续订服务器。

注意

在上游文档中,IdM CA 名为 Dogtag

CA 续订服务器的角色

IdM CAIdM CA 子系统IdM RA 证书对于 IdM 部署至关重要。每个证书都存储在 /etc/pki/pki-tomcat/ 目录中的 NSS 数据库中,并作为 LDAP 数据库条目。LDAP 中存储的证书必须与存储在 NSS 数据库中的证书匹配。如果不匹配,则 IdM 框架和 IdM CA 之间以及 IdM CA 和 LDAP 之间的身份验证失败。

所有 IdM CA 副本都有每个系统证书的跟踪请求。如果带有集成 CA 的 IdM 部署不包含 CA 续订服务器,每个 IdM CA 服务器会单独请求续订系统证书。这会导致具有不同系统证书的不同 CA 副本,发生身份验证失败。

将一个 CA 副本作为续订服务器,可以在需要时精确续订系统证书,从而防止身份验证失败。

CA 副本上的 certmonger 服务角色

在所有 IdM CA 副本中运行的 certmonger 服务都使用 dogtag-ipa-ca-renew-agent 续订帮助程序来跟踪 IdM 系统证书。续订帮助程序读取 CA 续订服务器配置。在不是 CA 续订服务器的每个 CA 副本中,续订帮助程序从 ca_renewal LDAP 条目中检索最新的系统证书。由于无法决定 certmonger 续订尝试发生的准确时间,dogtag-ipa-ca-renew-agent 帮助程序有时会在 CA 续订服务器实际续订证书前尝试更新系统证书。如果发生这种情况,则即将过期的证书返回到 CA 副本上的 certmonger 服务。certmonger 服务因为意识到它是已经存储在其数据库中的相同证书,会重复尝试续订证书(每个尝试间有一个延迟),直到它可以从 CA 续订服务器检索到更新的证书。

IdM CA 续订服务器正常工作

带有内嵌 CA 的 IdM 部署是一个 IdM 部署,该部署使用 IdM CA 安装 - 或者在以后安装 IdM CA 服务器。具有嵌入式 CA 的 IdM 部署必须完全配置一个 CA 副本,作为续订服务器。续订服务器必须在线且完全正常工作,且必须与其他服务器正确复制。

如果使用 ipa server-delipa-replica-manage delipa-csreplica-manage delipa-server-install --uninstall 命令删除了当前的 CA 续订服务器,其他一个 CA 副本会自动分配为 CA 续订服务器。此策略可确保续订服务器配置保持有效。

此策略不包括以下情况:

  • 离线续订服务器

    如果续订服务器在延长期间内离线,则可能会错过续订窗口。在这种情况下,所有非续订的 CA 服务器都会重新安装当前系统证书,直到证书过期为止。当发生这种情况时,IdM 部署会中断,因为即使一个过期的证书可能会导致其他证书的续订失败。

  • 复制问题

    如果续订服务器和其它 CA 副本之间存在复制问题,则续订可能会成功,但其他 CA 副本可能无法在过期之前检索更新的证书。

    要防止这种情况,请确保您的复制协议可以正常工作。详情请参阅 RHEL 7 Linux 域身份、身份验证和策略指南中常规特定复制故障排除指南。