第 25 章 了解 IdM 内部使用的证书

您可以安装带有集成证书颁发机构(CA)或没有 CA 的 Red Hat Identity Management (IdM)服务器。访问和管理 IdM 所需的证书会根据您的 CA 是否是集成的而不同:

  • 集成的 CA:证书由 certmonger 自动创建和跟踪。certmonger 会自动续订证书,确保 IdM 服务持续有效。
  • 没有 CA:证书是从第三方授权请求的。在这种情况下,您需要监控其过期,并确保它们被续订,以确保 IdM 服务的持续有效。

25.1. 关于 IdM 中的内部证书

Red Hat Identity Management (IdM)使用许多使用网络访问的服务,包括 LDAP 服务器和 HTTP 服务器。您可以使用 SSL/TLS 端口访问这些服务,该端口需要服务器证书。在安装 IdM 服务器的过程中需要 HTTP 和 LDAP 服务器证书。

您可以根据您安装和配置 IdM 的方式以多种方式获取证书:

  • 集成的 CA 可以是自签名的或由外部 CA 签名的: IdM 会为由 IdM 管理的用户、主机和服务发出所有证书,您不需要提供证书文件。

    certmonger 会自动监控证书的到期日期,它们在需要时会自动续订。

  • 使用外部签名的 CA:安装是一个多个步骤的过程。

    • 您需要使用 --external-ca 选项运行安装来生成 CSR。
    • 将 CSR 提交给外部 CA,并以 PEM 文件或 Base64 编码证书的形式检索发布的证书和 CA 证书链。

    • 再次运行 IdM 服务器安装,指定新发布的 CA 证书和 CA 链文件的位置和名称。您的 IdM 证书颁发机构被配置为外部 CA 的子 CA,这个子 CA 发布所需的 HTTP 和 LDAP 服务器证书。

      certmonger 会自动监控证书的到期日期,它们在需要时会自动续订。

  • 没有 CA:要求您从第三方认证机构请求以下证书:

    • LDAP 服务器证书
    • Apache 服务器证书
    • PKINIT 证书

    • 发布 LDAP 和 Apache 服务器证书的 CA 完整 CA 证书链

      这些证书不会被 certmonger 跟踪,管理员负责在它们过期日期之前续订证书。

其他资源