导入CRL文件
当CA服务器的CRL文件(证书吊销文件)更新后,需要用户手动导入相应的CRL文件到各个服务器,以此保证在证书校验时对应的CRL文件是最新的,以保障证书校验结果。
用户需要手动将CRL文件传输到服务器上指定位置,并进行相应的操作。
CRL存放目录 |
属主 |
权限 |
软链接 |
|---|---|---|---|
安装包中安装配置文件中的cert_path 默认为工具安装目录的cert路径下 规定命名为:ca.crl |
与安装时保持一致 |
600 |
无需软链接 |
进入工具安装目录,并执行如下证书吊销列表导入命令,执行后需要输入远端服务器的密码。证书吊销列表导入操作会将吊销列表文件更新到工具安装目录的cert路径下。
./tools/haf-tool cert --server <ca_server_ip> --path <ca_server_path> --user <ca_server_user> --revoke
参数 |
内容 |
|---|---|
任务名称 |
更新节点证书 |
任务描述 |
从CA节点导入证书吊销列表文件到本地节点 |
运行目录 |
/ |
执行命令 |
echo password | /home/omm/haf-install/haf-target/tools/haf-tool cert --server ca_server_ip --path ca_server_path --user ca_server_user --revoke |
是否预判返回码 |
是 |
期望返回码 |
0 |
此处以卸载节点服务化安装为例,主机节点和卸载节点库安装可参考卸载节点服务化安装执行。
以卸载节点导入CRL文件操作为例。
- 传输CRL文件到卸载节点。
参数
内容
任务名称
传输crl文件到卸载节点
任务描述
传输crl文件到卸载节点
传输方向
从本地传至远端主机
本地路径
/xx/xx/ca.crl
远端路径
/home/omm/haf-install/haf-target/cert
- ca.crl文件权限控制。
参数
内容
任务名称
ca.crl文件权限控制
任务描述
ca.crl文件权限控制
运行目录
/
执行命令
chmod 600 /home/omm/haf-install/haf-target/cert/ca.crl
是否预判返回码
是
期望返回码
0
证书吊销列表导入的内部脚本crt_revoke.sh,该脚本在安装目录下的“haf-tool/scripts”路径下,由haf_tool工具调用,内部调用的命令为:
cd tools/scripts
./crt_revoke.sh -i <ip_addr> -p <remote_path> -u <user_name> -t <cert_path>
命令执行后需要手动输入远端服务器的登录密码。
选项 |
内容 |
必选 |
|---|---|---|
-i <ip_addr> |
CA节点所在服务器的IP地址,由用户输入,并通过haf_tool工具传入。 |
√ |
-p <remote_path> |
CA节点证书存放路径,由用户输入,并通过haf_tool工具传入。 |
√ |
-u <user_name> |
CA节点所在服务器的用户名,由用户输入,并通过haf_tool工具传入。 |
√ |
-t <cert_path> |
证书吊销列表存放路径,haf-tool调用时使用配置文件中的cert_path路径。 |
√ |
crt_revoke.sh为软件内部工具,不建议用户单独调用。