Menu Close

第 5 章 规划您的 CA 服务

Red Hat Enterprise Linux 中的身份管理 (IdM) 提供不同类型的证书颁发机构 (CA) 配置。以下小节描述了不同的场景,并为您提供最适合您的用例的建议。

CA 主题 DN
证书颁发机构 (CA) 主题区分名称 (DN) 是 CA 的名称。它必须在 Identity Management (IdM) CA 基础架构中具有全局唯一性,且在安装后不可更改。如果您需要 IdM CA 进行外部签名,您可能需要咨询外部 CA 管理员有关您的 IdM CA 主题 DN 应采用的形式。

5.1. IdM 服务器中的 CA 服务

您可以使用集成 IdM 证书颁发机构 (CA) 或者没有 CA 安装 Identity Management (IdM) 服务器。

表 5.1. 带有集成 CA 和没有集成 CA 的 IdM 的比较

 集成的 CA没有 CA

概述:

IdM 使用自己的公钥基础架构 (PKI) 服务及 CA 签名证书在 IdM 域中创建和签署证书。

  • 如果 root CA 是集成的 CA,IdM 将使用自签名的 CA 证书。
  • 如果 root CA 是外部 CA,集成的 IdM CA 会从属到外部 CA。IdM 使用的 CA 证书由外部 CA 签名,但 IdM 域的所有证书都由集成证书系统实例发布。
  • 集成的 CA 也可以为用户、主机或服务发布证书。

外部 CA 可以是企业 CA 或第三方 CA。

IdM 不会设置其自身 CA,而是使用来自外部 CA 的签名主机证书。

安装没有 CA 的服务器需要您从第三方认证机构请求以下证书:

  • LDAP 服务器证书
  • Apache 服务器证书
  • PKINIT 证书
  • 发布 LDAP 和 Apache 服务器证书的 CA 完整 CA 证书链

限制:

如果集成的 CA 属于外部 CA,则在 IdM 域中发布的证书可能会受到外部 CA 为各种证书属性设置的限制,例如:

  • 有效周期。
  • 对 IDM CA 或其下级发布的证书可能出现的主题名称的限制。
  • 限制 IDM CA 是否可以自己签发从属 CA 证书,或者如何"依赖"下级证书链。

在 IdM 之外管理证书会导致许多其他活动,例如:

  • 创建、上传和更新证书是一个手动过程。
  • certmonger 服务不跟踪 IPA 证书(LDAP 服务器、Apache 服务器和 PKINIT 证书),也不会在证书即将过期时通知您。管理员必须为外部发布的证书设置通知,或者对这些证书设置跟踪请求(如果管理员希望 certmonger 跟踪它们)。

这最适合于:

允许您创建和使用自己的证书基础架构的环境。

在非常罕见的情况下,基础架构内的限制不允许您安装与服务器集成的证书服务。

注意

从自签名 CA 切换到外部签名 CA 或其他方式,以及更改外部 CA 签发 IdM CA 证书,即使安装后也可以更改哪些外部 CA 证书。即使在没有 CA 的安装后也可以配置集成 CA。如需了解更多详细信息,请参阅安装 IdM 服务器: 带有集成的 DNS,没有 CA