64.7. 인증서 프로필 구성 매개변수
인증서 프로필 구성 매개 변수는 CA 프로필 디렉터리의 profile_name.cfg 파일에 /var/lib/pki/pki-tomcat/ca/profiles/ca
에 저장됩니다. 프로필의 모든 매개 변수(기본값, 입력, 출력 및 제약 조건)는 단일 정책 세트 내에 구성됩니다. 인증서 프로필에 설정된 정책에는 이름 policyset.policyName.policyNumber 가 있습니다.
예를 들어 정책의 경우 serverCertSet
를 설정합니다.
policyset.list=serverCertSet policyset.serverCertSet.list=1,2,3,4,5,6,7,8 policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl policyset.serverCertSet.1.constraint.name=Subject Name Constraint policyset.serverCertSet.1.constraint.params.pattern=CN=[^,]+,.+ policyset.serverCertSet.1.constraint.params.accept=true policyset.serverCertSet.1.default.class_id=subjectNameDefaultImpl policyset.serverCertSet.1.default.name=Subject Name Default policyset.serverCertSet.1.default.params.name=CN=$request.req_subject_name.cn$, OU=pki-ipa, O=IPA policyset.serverCertSet.2.constraint.class_id=validityConstraintImpl policyset.serverCertSet.2.constraint.name=Validity Constraint policyset.serverCertSet.2.constraint.params.range=740 policyset.serverCertSet.2.constraint.params.notBeforeCheck=false policyset.serverCertSet.2.constraint.params.notAfterCheck=false policyset.serverCertSet.2.default.class_id=validityDefaultImpl policyset.serverCertSet.2.default.name=Validity Default policyset.serverCertSet.2.default.params.range=731 policyset.serverCertSet.2.default.params.startTime=0
각 정책 세트에는 평가해야 하는 순서대로 정책 ID 번호별로 인증서 프로필에 대해 구성된 정책 목록이 포함되어 있습니다. 서버는 수신하는 각 요청에 대해 설정된 각 정책을 평가합니다. 단일 인증서 요청이 수신되면 하나의 세트가 평가되고 프로필의 다른 모든 세트는 무시됩니다. 이중 키 쌍이 발행되면 첫 번째 정책 집합이 첫 번째 인증서 요청에 대해 평가되고, 두 번째 키 쌍은 두 번째 인증서 요청에 대해 평가됩니다. 이중 키 쌍을 발행할 때 단일 인증서 또는 두 개 이상의 집합을 발행할 때 두 개 이상의 정책 세트가 필요하지 않습니다.
매개변수 | 설명 |
---|---|
Desc |
최종 엔터티 페이지에 표시되는 인증서 프로필에 대한 무료 텍스트 설명입니다. 예를 들어, |
활성화 |
엔드 엔티티 페이지를 통해 액세스할 수 있도록 프로필을 활성화합니다. 예를 들면 |
auth.instance_id |
인증서 요청을 인증하는 데 사용할 인증 관리자 플러그인을 설정합니다. 자동 등록을 위해 인증에 성공하면 CA에서 즉시 인증서를 발행합니다. 인증에 실패하거나 인증 플러그인이 지정되지 않은 경우 에이전트에서 수동으로 승인하도록 요청이 대기 중입니다. 예를 들면 |
authz.acl |
권한 부여 제한 조건을 지정합니다. 이는 그룹 ACL(평가 제어 목록)을 설정하는 데 주로 사용됩니다. 예를 들어
디렉터리 기반 사용자 인증서 갱신에서 이 옵션은 원래 요청자 및 현재 인증된 사용자가 동일한지 확인하는 데 사용됩니다. 권한을 평가하려면 엔터티에서 인증(바인드 또는 기본적으로 시스템에 로그인)해야 합니다. |
name |
인증서 프로필의 이름입니다. 예를 들면 |
input.list |
인증서 프로필에 허용된 입력을 이름으로 나열합니다. 예를 들면 |
input.input_id.class_id |
입력 ID( input.list에 나열된 입력 이름)를 통해 입력의 java 클래스 이름을 나타냅니다. 예를 들면 |
output.list |
이름별로 인증서 프로필에 사용할 수 있는 출력 형식을 나열합니다. 예를 들면 |
output.output_id.class_id |
output.list에서 이름이 지정된 출력 형식의 java 클래스 이름을 지정합니다. 예를 들면 |
policyset.list |
구성된 인증서 프로필 규칙을 나열합니다. 이중 인증서의 경우 하나의 규칙 집합이 서명 키에 적용되고 다른 하나는 암호화 키에 적용됩니다. 단일 인증서는 하나의 인증서 프로필 규칙 세트만 사용합니다. 예를 들면 |
policyset.policyset_id.list |
평가해야 하는 정책 ID 번호에 따라 인증서 프로필에 대해 구성된 정책 내의 정책을 나열합니다. 예를 들면 |
policyset.policyset_id.policy_number.constraint.class_id | 프로필 규칙에 구성된 기본값에 설정된 제약 조건 플러그인의 java 클래스 이름을 나타냅니다. 예를 들면 policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl입니다. |
policyset.policyset_id.policy_number.constraint.name | 제한 조건의 사용자 정의 이름을 제공합니다. 예를 들면 policyset.serverCertSet.1.constraint.name=Subject Name Constraint입니다. |
policyset.policyset_id.policy_number.constraint.params.attribute | 제약 조건에 허용된 속성의 값을 지정합니다. 가능한 속성은 제한 조건 유형에 따라 다릅니다. 예를 들어 policyset.serverCertSet.1.constraint.params.pattern=CN=.*입니다. |
policyset.policyset_id.policy_number.default.class_id | 프로필 규칙에 기본 세트의 java 클래스 이름을 제공합니다. For example, policyset.serverCertSet.1.default.class_id=userSubjectNameDefaultImpl |
policyset.policyset_id.policy_number.default.name | 은 사용자 정의 이름을 제공합니다. 예를 들어 policyset.serverCertSet.1.default.name=Subject Name Default |
policyset.policyset_id.policy_number.default.params.attribute | 기본값에 허용된 속성의 값을 지정합니다. 가능한 속성은 기본값 유형에 따라 다릅니다. 예를 들어 policyset.serverCertSet.1.default.params.name=CN=(Name)$request.requestor_name$입니다. |