5.7. Paramètres de configuration du profil de certificat
Les paramètres de configuration du profil de certificat sont stockés dans un fichier profile_name.cfg dans le répertoire du profil de l'autorité de certification, /var/lib/pki/pki-tomcat/ca/profiles/ca. Tous les paramètres d'un profil - valeurs par défaut, entrées, sorties et contraintes - sont configurés dans un seul ensemble de règles. Un ensemble de règles pour un profil de certificat porte le nom suivant policyset.policyName.policyNumber. Par exemple, pour l'ensemble de règles serverCertSet:
policyset.list=serverCertSet policyset.serverCertSet.list=1,2,3,4,5,6,7,8 policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl policyset.serverCertSet.1.constraint.name=Subject Name Constraint policyset.serverCertSet.1.constraint.params.pattern=CN=[^,]+,.+ policyset.serverCertSet.1.constraint.params.accept=true policyset.serverCertSet.1.default.class_id=subjectNameDefaultImpl policyset.serverCertSet.1.default.name=Subject Name Default policyset.serverCertSet.1.default.params.name=CN=$request.req_subject_name.cn$, OU=pki-ipa, O=IPA policyset.serverCertSet.2.constraint.class_id=validityConstraintImpl policyset.serverCertSet.2.constraint.name=Validity Constraint policyset.serverCertSet.2.constraint.params.range=740 policyset.serverCertSet.2.constraint.params.notBeforeCheck=false policyset.serverCertSet.2.constraint.params.notAfterCheck=false policyset.serverCertSet.2.default.class_id=validityDefaultImpl policyset.serverCertSet.2.default.name=Validity Default policyset.serverCertSet.2.default.params.range=731 policyset.serverCertSet.2.default.params.startTime=0
Chaque ensemble de règles contient une liste de règles configurées pour le profil de certificat par numéro d'identification de la règle dans l'ordre dans lequel elles doivent être évaluées. Le serveur évalue chaque ensemble de règles pour chaque demande qu'il reçoit. Lorsqu'une seule demande de certificat est reçue, un seul ensemble est évalué et tous les autres ensembles du profil sont ignorés. Lorsque des paires de clés doubles sont émises, le premier ensemble de règles est évalué pour la première demande de certificat, et le deuxième ensemble est évalué pour la deuxième demande de certificat. Il n'est pas nécessaire de disposer de plus d'un ensemble de règles lors de l'émission de certificats individuels ou de plus de deux ensembles lors de l'émission de paires de clés.
| Paramètres | Description |
|---|---|
| desc |
Une description en texte libre du profil de certificat, qui est affichée sur la page des entités finales. Par exemple, |
| permettre |
Active le profil pour qu'il soit accessible via la page des entités finales. Par exemple, |
| auth.instance_id |
Définit le plug-in du gestionnaire d'authentification à utiliser pour authentifier la demande de certificat. Dans le cas d'une inscription automatique, l'autorité de certification délivre un certificat immédiatement si l'authentification est réussie. Si l'authentification échoue ou si aucun plug-in d'authentification n'est spécifié, la demande est mise en file d'attente pour être approuvée manuellement par un agent. Par exemple, |
| authz.acl |
Spécifie la contrainte d'autorisation. Ce paramètre est principalement utilisé pour définir la liste de contrôle d'accès (ACL) de l'évaluation du groupe. Par exemple, le paramètre
Dans le cadre du renouvellement des certificats d'utilisateur basé sur un annuaire, cette option est utilisée pour s'assurer que le demandeur initial et l'utilisateur actuellement authentifié sont les mêmes. Une entité doit s'authentifier (se lier ou, essentiellement, se connecter au système) avant que l'autorisation puisse être évaluée. |
| nom |
Le nom du profil de certificat. Par exemple, |
| liste.d'entrée |
Liste les entrées autorisées pour le profil de certificat par nom. Par exemple, |
| input.input_id.class_id |
Indique le nom de la classe java pour l'entrée par ID d'entrée (le nom de l'entrée répertoriée dans input.list). Par exemple, |
| liste.de.sortie |
Liste les formats de sortie possibles pour le profil de certificat par nom. Par exemple, |
| output.output_id.class_id |
Spécifie le nom de la classe Java pour le format de sortie indiqué dans output.list. Par exemple, |
| policyset.list |
Liste les règles de profil de certificat configurées. Pour les certificats doubles, un ensemble de règles s'applique à la clé de signature et l'autre à la clé de chiffrement. Les certificats simples n'utilisent qu'un seul ensemble de règles de profil de certificat. Par exemple, |
| policyset.policyset_id.list |
Répertorie les politiques de l'ensemble de politiques configuré pour le profil de certificat par numéro d'identification de politique dans l'ordre dans lequel elles doivent être évaluées. Par exemple, |
| policyset.policyset_id.policy_number.constraint.class_id | Indique le nom de la classe java du plug-in de contrainte défini pour la valeur par défaut configurée dans la règle de profil. Par exemple, policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl. |
| policyset.policyset_id.policy_number.constraint.name | Indique le nom de la contrainte défini par l'utilisateur. Par exemple, policyset.serverCertSet.1.constraint.name=Contrainte de nom de sujet. |
| policyset.policyset_id.policy_number.constraint.params.attribute | Spécifie une valeur pour un attribut autorisé pour la contrainte. Les attributs possibles varient en fonction du type de contrainte. Par exemple, policyset.serverCertSet.1.constraint.params.pattern=CN=.*. |
| policyset.policyset_id.policy_number.default.class_id | Indique le nom de la classe Java pour l'ensemble de valeurs par défaut dans la règle de profil. Par exemple, policyset.serverCertSet.1.default.class_id=userSubjectNameDefaultImpl |
| policyset.policyset_id.policy_number.default.name | Indique le nom défini par l'utilisateur pour la valeur par défaut. Par exemple, policyset.serverCertSet.1.default.name=Nom du sujet Défaut |
| policyset.policyset_id.policy_number.default.params.attribute | Spécifie une valeur pour un attribut autorisé pour la valeur par défaut. Les attributs possibles varient en fonction du type de défaut. Par exemple, policyset.serverCertSet.1.default.params.name=CN=(Name)$request.requestor_name$. |
