Red Hat Summit41.7. Parámetros de configuración del modelo de certificado
Los parámetros de configuración del perfil de certificado se almacenan en un archivo profile_name.cfg en el directorio del perfil de la CA, /var/lib/pki/pki-tomcat/ca/profiles/ca. Todos los parámetros de un modelo (valores predeterminados, entradas, salidas y restricciones) se configuran en un único conjunto de políticas. Un conjunto de políticas para un modelo de certificado tiene el nombre policyset.policyName.policyNumber. Por ejemplo, para el conjunto de políticas serverCertSet:
policyset.list=serverCertSet
policyset.serverCertSet.list=1,2,3,4,5,6,7,8
policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl
policyset.serverCertSet.1.constraint.name=Subject Name Constraint
policyset.serverCertSet.1.constraint.params.pattern=CN=[^,]+,.+
policyset.serverCertSet.1.constraint.params.accept=true
policyset.serverCertSet.1.default.class_id=subjectNameDefaultImpl
policyset.serverCertSet.1.default.name=Subject Name Default
policyset.serverCertSet.1.default.params.name=CN=$request.req_subject_name.cn$, OU=pki-ipa, O=IPA
policyset.serverCertSet.2.constraint.class_id=validityConstraintImpl
policyset.serverCertSet.2.constraint.name=Validity Constraint
policyset.serverCertSet.2.constraint.params.range=740
policyset.serverCertSet.2.constraint.params.notBeforeCheck=false
policyset.serverCertSet.2.constraint.params.notAfterCheck=false
policyset.serverCertSet.2.default.class_id=validityDefaultImpl
policyset.serverCertSet.2.default.name=Validity Default
policyset.serverCertSet.2.default.params.range=731
policyset.serverCertSet.2.default.params.startTime=0Cada conjunto de políticas contiene una lista de políticas configuradas para el perfil de certificado por número de ID de política en el orden en que deben evaluarse. El servidor evalúa cada conjunto de políticas para cada solicitud que recibe. Cuando se recibe una única solicitud de certificado, se evalúa un conjunto y se ignoran los demás conjuntos del perfil. Cuando se emiten pares de claves dobles, el primer conjunto de políticas se evalúa para la primera solicitud de certificado y el segundo conjunto se evalúa para la segunda solicitud de certificado. No se necesita más de un conjunto de políticas cuando se emiten certificados individuales ni más de dos conjuntos cuando se emiten pares de claves dobles.
| Parámetro | Descripción |
|---|---|
| desc |
Una descripción de texto libre del modelo de certificado, que se muestra en la página de entidades finales. Por ejemplo, |
| activar |
Habilita el perfil para que sea accesible a través de la página de entidades finales. Por ejemplo, |
| auth.instance_id |
Establece el complemento del gestor de autenticación que se utilizará para autenticar la solicitud de certificado. Para la inscripción automática, la CA emite un certificado inmediatamente si la autenticación es correcta. Si la autenticación falla o no se especifica ningún complemento de autenticación, la solicitud se pone en cola para ser aprobada manualmente por un agente. Por ejemplo, |
| authz.acl |
Especifica la restricción de autorización. Se utiliza principalmente para establecer la lista de control de acceso (ACL) de evaluación de grupos. Por ejemplo, el parámetro
En la renovación de certificados de usuario basada en directorios, esta opción se utiliza para garantizar que el solicitante original y el usuario actualmente autenticado son el mismo. Una entidad debe autenticarse (vincularse o, esencialmente, iniciar sesión en el sistema) antes de que se pueda evaluar la autorización. |
| nombre |
El nombre del modelo de certificado. Por ejemplo, |
| lista.de entrada |
Enumera las entradas permitidas para el modelo de certificado por su nombre. Por ejemplo, |
| input.input_id.class_id |
Indica el nombre de la clase java para la entrada por el ID de la entrada (el nombre de la entrada que aparece en input.list). Por ejemplo, |
| lista de salida |
Enumera los posibles formatos de salida del modelo de certificado por su nombre. Por ejemplo, |
| output.output_id.class_id |
Especifica el nombre de la clase java para el formato de salida nombrado en output.list. Por ejemplo, |
| lista de políticas |
Enumera las reglas de perfil de certificado configuradas. Para los certificados duales, un conjunto de reglas se aplica a la clave de firma y el otro a la clave de cifrado. Los certificados individuales sólo utilizan un conjunto de reglas de perfil de certificado. Por ejemplo, |
| policyset.policyset_id.list |
Enumera las políticas del conjunto de políticas configuradas para el modelo de certificado por número de identificación de política en el orden en que deben evaluarse. Por ejemplo, |
| conjunto_de_políticas.número_de_políticas.restricción.class_id | Indica el nombre de la clase java del complemento de restricción establecido para el valor predeterminado configurado en la regla del perfil. Por ejemplo, policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl. |
| conjunto_de_políticas.número_de_políticas.nombre.de.restricción | Proporciona el nombre definido por el usuario de la restricción. Por ejemplo, policyset.serverCertSet.1.constraint.name=Restricción del nombre del sujeto. |
| policyset.policyset_id.policy_number.constraint.params.attribute | Especifica un valor para un atributo permitido para la restricción. Los posibles atributos varían en función del tipo de restricción. Por ejemplo, policyset.serverCertSet.1.constraint.params.pattern=CN=.*. |
| policyset.policyset_id.policy_number.default.class_id | Da el nombre de la clase java para el conjunto por defecto en la regla del perfil. Por ejemplo, policyset.serverCertSet.1.default.class_id=userSubjectNameDefaultImpl |
| conjunto_de_políticas.número_de_políticas.predeterminado.nombre | Proporciona el nombre definido por el usuario del valor predeterminado. Por ejemplo, policyset.serverCertSet.1.default.name=Nombre por defecto |
| policyset.policyset_id.policy_number.default.params.attribute | Especifica un valor para un atributo permitido para el valor predeterminado. Los atributos posibles varían en función del tipo de valor predeterminado. Por ejemplo, policyset.serverCertSet.1.default.params.name=CN=(Nombre)$request.requestor_name$. |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}