6.7. 인증서 프로필 구성 매개변수
인증서 프로필 구성 매개변수는 CA 프로파일 디렉터리인 /var/lib/pki/pki-tomcat/ca/profiles/ca.cfg 파일에 저장됩니다. 프로필의 모든 매개 변수(기본값, 입력, 출력 및 제약 조건)는 단일 정책 세트 내에서 구성됩니다. 인증서 프로필에 설정된 정책에는 name policyset.policyName.policyNumber 가 있습니다. 예를 들어 policy set serverCertSet:의 경우
policyset.list=serverCertSet policyset.serverCertSet.list=1,2,3,4,5,6,7,8 policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl policyset.serverCertSet.1.constraint.name=Subject Name Constraint policyset.serverCertSet.1.constraint.params.pattern=CN=[^,]+,.+ policyset.serverCertSet.1.constraint.params.accept=true policyset.serverCertSet.1.default.class_id=subjectNameDefaultImpl policyset.serverCertSet.1.default.name=Subject Name Default policyset.serverCertSet.1.default.params.name=CN=$request.req_subject_name.cn$, OU=pki-ipa, O=IPA policyset.serverCertSet.2.constraint.class_id=validityConstraintImpl policyset.serverCertSet.2.constraint.name=Validity Constraint policyset.serverCertSet.2.constraint.params.range=740 policyset.serverCertSet.2.constraint.params.notBeforeCheck=false policyset.serverCertSet.2.constraint.params.notAfterCheck=false policyset.serverCertSet.2.default.class_id=validityDefaultImpl policyset.serverCertSet.2.default.name=Validity Default policyset.serverCertSet.2.default.params.range=731 policyset.serverCertSet.2.default.params.startTime=0
각 정책 세트에는 평가해야 하는 순서대로 정책 ID 번호별로 인증서 프로필에 대해 구성된 정책 목록이 포함되어 있습니다. 서버는 수신하는 각 요청에 대해 설정된 각 정책 세트를 평가합니다. 단일 인증서 요청이 수신되면 하나의 세트가 평가되고 프로필의 다른 집합이 무시됩니다. 이중 키 쌍을 발급하면 첫 번째 정책 세트가 첫 번째 인증서 요청에 대해 평가되고 두 번째 세트는 두 번째 인증서 요청에 대해 평가됩니다. 듀얼 키 쌍을 발행할 때 단일 인증서 또는 두 개 이상의 세트를 발행할 때 두 개 이상의 정책 세트가 필요하지 않습니다.
| 매개변수 | 설명 |
|---|---|
| desc |
최종 항목 페이지에 표시되는 인증서 프로필에 대한 무료 텍스트 설명입니다. 예를 들어 |
| enable |
최종 엔터티 페이지를 통해 액세스할 수 있도록 프로필을 활성화합니다. 예를 들면 |
| auth.instance_id |
인증서 요청을 인증하는 데 사용할 인증 관리자 플러그인을 설정합니다. 자동 등록의 경우 인증이 성공하면 CA에서 즉시 인증서를 발행합니다. 인증에 실패하거나 인증 플러그인이 지정되지 않은 경우 에이전트에서 수동으로 승인하도록 요청이 대기됩니다. 예: |
| authz.acl |
권한 부여 제약 조건을 지정합니다. 이는 그룹 계산 ACL(액세스 제어 목록)을 설정하는 데 주로 사용됩니다. 예를 들어
디렉터리 기반 사용자 인증서 갱신에서는 이 옵션을 사용하여 원래 요청자 및 현재authenticated 사용자가 동일한지 확인합니다. 권한 부여를 평가하기 전에 엔터티를 인증(바인 또는 기본적으로 시스템에 로그인)해야 합니다. |
| name |
인증서 프로필의 이름입니다. 예를 들어 |
| input.list |
인증서 프로필에 허용된 입력을 이름으로 나열합니다. 예: |
| input.input_id.class_id |
입력 ID( input.list에 나열된 입력 이름)별 입력의 java 클래스 이름을 나타냅니다. 예를 들어 |
| output.list |
인증서 프로필의 가능한 출력 형식을 이름으로 나열합니다. 예: |
| output.output_id.class_id |
output.list로 이름이 지정된 출력 형식의 Java 클래스 이름을 지정합니다. 예를 들어 |
| policyset.list |
구성된 인증서 프로필 규칙을 나열합니다. 이중 인증서의 경우 하나의 규칙 세트는 서명 키와 다른 규칙 세트에 적용됩니다. 단일 인증서는 하나의 인증서 프로필 규칙 세트만 사용합니다. 예를 들면 |
| policyset.policyset_id.list |
평가해야 하는 순서대로 정책 ID 번호로 인증서 프로필에 구성된 정책 내의 정책을 나열합니다. 예를 들어 |
| policyset.policyset_id.policy_number.constraint.class_id | 프로필 규칙에 구성된 기본값에 대해 설정된 제약 조건 플러그인의 Java 클래스 이름을 나타냅니다. 예를 들어 policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl입니다. |
| policyset.policyset_id.policy_number.constraint.name | 제약 조건의 사용자 정의 이름을 제공합니다. 예를 들어 policyset.serverCertSet.1.constraint.name=Subject Name Constraint입니다. |
| policyset.policyset_id.policy_number.constraint.params.attribute | 제약 조건에 허용되는 특성의 값을 지정합니다. 가능한 속성은 제약 조건 유형에 따라 다릅니다. 예를 들어 policyset.serverCertSet.1.constraint.params.pattern=CN=.*입니다. |
| policyset.policyset_id.policy_number.default.class_id | 프로필 규칙에 설정된 기본 클래스의 Java 클래스 이름을 지정합니다. 예: policyset.serverCertSet.1.default.class_id=userSubjectNameDefaultImpl |
| policyset.policyset_id.policy_number.default.name | 기본값의 사용자 정의 이름을 지정합니다. 예: policyset.serverCertSet.1.default.name=Subject Name Default |
| policyset.policyset_id.policy_number.default.params.attribute | 기본값에 허용되는 특성의 값을 지정합니다. 사용 가능한 속성은 기본값 유형에 따라 다릅니다. 예를 들어 policyset.serverCertSet.1.default.params.name=CN=(Name)$request.requestor_name$입니다. |
