17.1 管理证书颁发机构
默认情况下,NetIQ Certificate Server 安装过程会为您创建组织证书颁发机构 (CA)。系统会提示您指定组织证书颁发机构名称。单击“完成”时,将使用默认参数创建组织证书颁发机构并放置在安全性容器中。如果您想要对组织证书颁发机构的创建进行更多控制,可以通过使用 Identity Console 门户手动创建组织证书颁发机构。如果删除组织证书颁发机构,则需要重新创建它。
使用证书颁发机构模块,您可以执行以下任务:
17.1.2 备份组织证书颁发机构证书
我们建议您备份组织证书颁发机构的私用密钥和证书,以防组织证书颁发机构的主机服务器出现无法恢复的故障。如果出现故障,您可以使用备份文件将组织证书颁发机构恢复到树中的任何服务器。
注:仅通过 Certificate Server 9.0 及以上版本创建的组织证书颁发机构能够进行备份。对于之前版本的 Certificate Server,组织证书颁发机构私用密钥的创建方式使其无法导出。
备份文件包含证书颁发机构的私用密钥、自我签名证书、公共密钥证书以及操作所需的其他几个证书。此类信息以 PKCS #12 格式(也称为 PFX)存储。
应在组织证书颁发机构正常工作时对其进行备份。
要备份组织证书颁发机构,执行下列操作:
-
在 Identity Console 登录页中单击 > 选项。
-
单击选项卡。
-
选择 (自我签名证书)或 (公共密钥证书)。在备份操作期间,这两个证书都写入文件。我们建议您单独为 RSA 和 ECDSA 证书选择自我签名证书。
-
单击
图标。 -
选择导出私用密钥,指定具有 6 个或更多字母数字字符的口令用于加密 PFX 文件,并选择导出格式 PKCS12,然后单击。
-
加密备份文件写入指定位置。现在可以将此文件储存在安全位置以供紧急使用。
17.1.3 恢复组织证书颁发机构
如果组织证书颁发机构对象被删除或已损坏,或者组织证书颁发机构的主机服务器出现无法恢复的故障,可以使用按备份组织证书颁发机构证书中所述创建的备份文件将组织证书颁发机构完全恢复正常。
要恢复组织证书颁发机构,执行下列操作:
-
在 Identity Console 登录页中单击 > 选项。
-
单击屏幕顶部(旁边)的
,删除现有组织证书颁发机构。 -
系统将提示您配置新的组织证书颁发机构。这将打开“创建组织证书颁发机构对象”对话框和创建对象的相应向导。
-
在创建对话框中,指定应托管组织证书颁发机构的服务器和组织证书颁发机构对象的名称。
-
选择。
-
选择 RSA 和 ECDSA 证书。Certificate Server 要求两个证书的主体名称相同。但是,Certificate Server 不支持导入外部自我签名证书颁发机构证书。但是,它允许您导入从属证书颁发机构证书。
-
在随后的屏幕中,浏览并选择 RSA 和 ECDSA 的文件名称。
-
输入备份时用于加密文件的口令,然后单击。
-
现已恢复组织证书颁发机构的私用密钥和证书,证书颁发机构已完全正常。现在可以再次存储该文件以供将来使用。
17.1.4 验证组织证书颁发机构证书
如果您怀疑证书有问题或认为证书可能不再有效,可以使用 Identity Console 轻松验证证书。eDirectory 树中的任何证书都可以进行验证,包括外部证书颁发机构颁发的证书。
证书验证过程包括对证书中数据以及证书链中数据的多次检查。证书链由根证书颁发机构证书和可选的一个或多个中间证书颁发机构证书组成。
要验证证书:
-
在 Identity Console 登录页中单击 > 选项。
-
单击选项卡。
-
选择 (自我签名证书)或 (公共密钥证书)。
-
单击
验证所选的证书颁发机构证书。
17.1.5 替换组织证书颁发机构证书
如果证书因某种原因而损坏或无效,或者您只是想替换现有证书,执行下列操作:
-
在 Identity Console 登录页中单击 > 选项。
-
单击选项卡。
-
选择 (自我签名证书)或 (公共密钥证书)。
-
单击
替换所选证书颁发机构证书。 -
导入 .pfx 或 .p12 格式的证书颁发机构证书并指定加密私用密钥的口令。
-
单击。
17.1.6 撤消组织证书颁发机构证书
要撤消证书:
-
在 Identity Console 登录页中单击 > 选项。
-
单击选项卡。
-
选择 (自我签名证书)或 (公共密钥证书)。
-
单击
图标。 -
阅读并了解撤消服务器证书所涉及的风险。
-
从下拉列表中选择撤消的有效理由,选择无效日期并指定任何其他注释。
-
单击以完成撤消。
图 17-1 管理证书颁发机构
