5.7. 인증서 프로필 구성 매개변수
인증서 프로필 구성 매개변수는 CA 프로필 디렉터리의 profile_name.cfg 파일에 저장됩니다. /var/lib/pki/pki-tomcat/ca/profiles/ca. 프로필의 모든 매개변수(기본값, 입력, 출력 및 제약 조건)는 단일 정책 세트 내에서 구성됩니다. 인증서 프로필에 설정된 정책에는 name policyset.policyName.policyNumber 가 있습니다. 예를 들어 정책 set serverCertSet 은 다음과 같습니다.
policyset.list=serverCertSet policyset.serverCertSet.list=1,2,3,4,5,6,7,8 policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl policyset.serverCertSet.1.constraint.name=Subject Name Constraint policyset.serverCertSet.1.constraint.params.pattern=CN=[^,]+,.+ policyset.serverCertSet.1.constraint.params.accept=true policyset.serverCertSet.1.default.class_id=subjectNameDefaultImpl policyset.serverCertSet.1.default.name=Subject Name Default policyset.serverCertSet.1.default.params.name=CN=$request.req_subject_name.cn$, OU=pki-ipa, O=IPA policyset.serverCertSet.2.constraint.class_id=validityConstraintImpl policyset.serverCertSet.2.constraint.name=Validity Constraint policyset.serverCertSet.2.constraint.params.range=740 policyset.serverCertSet.2.constraint.params.notBeforeCheck=false policyset.serverCertSet.2.constraint.params.notAfterCheck=false policyset.serverCertSet.2.default.class_id=validityDefaultImpl policyset.serverCertSet.2.default.name=Validity Default policyset.serverCertSet.2.default.params.range=731 policyset.serverCertSet.2.default.params.startTime=0
각 정책 세트에는 평가해야 하는 순서대로 정책 ID 번호별로 인증서 프로필에 대해 구성된 정책 목록이 포함되어 있습니다. 서버는 수신하는 각 요청에 대해 각 정책 세트를 평가합니다. 단일 인증서 요청이 수신되면 하나의 집합이 평가되고 프로필의 다른 세트가 무시됩니다. 이중 키 쌍이 발행되면 첫 번째 정책 세트가 첫 번째 인증서 요청에 대해 평가되고 두 번째 세트는 두 번째 인증서 요청에 대해 평가됩니다. 듀얼 키 쌍을 발행할 때 단일 인증서 또는 두 개 이상의 세트를 발행할 때 두 개 이상의 정책 세트가 필요하지 않습니다.
| 매개변수 | 설명 |
|---|---|
| desc |
인증서 프로필에 대한 무료 텍스트 설명(end-entities) 페이지에 표시됩니다. 예를 들어 |
| enable |
엔드 포인트 페이지를 통해 액세스할 수 있도록 프로필을 활성화합니다. 예를 들면 |
| auth.instance_id |
인증서 요청을 인증하는 데 사용할 인증 관리자 플러그인을 설정합니다. 자동 등록의 경우 인증에 성공하면 CA에서 즉시 인증서를 발행합니다. 인증이 실패하거나 인증 플러그인이 지정되지 않은 경우 요청이 에이전트에서 수동으로 승인하도록 큐에 큐에 추가됩니다. 예를 들면 |
| authz.acl |
권한 부여 제약 조건을 지정합니다. 이 기능은 ACL(그룹 평가 액세스 제어 목록)을 설정하는 데 주로 사용됩니다. 예를 들어
디렉터리 기반 사용자 인증서 업데이트에서 이 옵션은 원래 요청자 및 현재 인증 된 사용자가 동일한지 확인하는 데 사용됩니다. 권한 부여를 평가하기 전에 엔터티에서 인증(바인딩 또는, 기본적으로 시스템에 로그인)해야 합니다. |
| name |
인증서 프로필의 이름입니다. 예를 들어 |
| input.list |
이름별로 인증서 프로필에 허용된 입력을 나열합니다. 예를 들면 |
| input.input_id.class_id |
입력 ID로 입력의 java 클래스 이름을 나타냅니다( input.list에 나열된 입력의 이름). 예를 들어 |
| output.list |
인증서 프로필에 사용 가능한 출력 형식을 이름으로 나열합니다. 예를 들면 |
| output.output_id.class_id |
output.list에 이름이 지정된 출력 형식의 java 클래스 이름을 지정합니다. 예를 들어 |
| policyset.list |
구성된 인증서 프로필 규칙을 나열합니다. 이중 인증서의 경우 하나의 규칙 세트가 서명 키에 적용되며 다른 규칙 세트가 암호화 키에 적용됩니다. 단일 인증서는 하나의 인증서 프로필 규칙 세트만 사용합니다. 예를 들어 |
| policyset.policyset_id.list |
평가해야 하는 순서에 따라 인증서 프로필에 대해 구성된 정책 프로필 내의 정책을 정책 ID 번호로 나열합니다. 예를 들어 |
| policyset.policyset_id.policy_number.constraint.class_id | 프로필 규칙에 구성된 기본값에 대해 제약 조건 플러그인 세트의 java 클래스 이름을 나타냅니다. 예를 들어 policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl입니다. |
| policyset.policyset_id.policy_number.constraint.name | 제약 조건의 사용자 정의 이름을 제공합니다. 예를 들어 policyset.serverCertSet.1.constraint.name=Subject Name Constraint입니다. |
| policyset.policyset_id.policy_number.constraint.params.attribute | 제약 조건에 대해 허용되는 속성에 대한 값을 지정합니다. 사용 가능한 속성은 제약 조건 유형에 따라 달라집니다. 예를 들어 policyset.serverCertSet.1.octets.params.octets=CN=.*입니다. |
| policyset.policyset_id.policy_number.default.class_id | 프로필 규칙에 기본 세트에 대한 java 클래스 이름을 제공합니다. For example, policyset.serverCertSet.1.default.class_id=userSubjectNameDefaultImpl |
| policyset.policyset_id.policy_number.default.name | 기본값의 사용자 정의 이름을 지정합니다. 예를 들어 policyset.serverCertSet.1.default.name=Subject Name Default |
| policyset.policyset_id.policy_number.default.params.attribute | 기본값에 대해 허용된 속성의 값을 지정합니다. 가능한 속성은 기본값 유형에 따라 다릅니다. For example, policyset.serverCertSet.1.default.params.name=CN=(Name)$request.requestor_name$. |
