41.7. Parâmetros de configuração do perfil do certificado
Os parâmetros de configuração do perfil do certificado são armazenados em um arquivo profile_name.cfg no diretório de perfis da CA, /var/lib/pki/pki-tomcat/ca/profiles/ca
. Todos os parâmetros para um perfil - padrões, entradas, saídas e restrições - são configurados dentro de um único conjunto de políticas. Um conjunto de políticas para um perfil de certificado tem o nome policyset.policyName.policyNumber.
Por exemplo, para o conjunto de políticas serverCertSet
:
policyset.list=serverCertSet policyset.serverCertSet.list=1,2,3,4,5,6,7,8 policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl policyset.serverCertSet.1.constraint.name=Subject Name Constraint policyset.serverCertSet.1.constraint.params.pattern=CN=[^,]+,.+ policyset.serverCertSet.1.constraint.params.accept=true policyset.serverCertSet.1.default.class_id=subjectNameDefaultImpl policyset.serverCertSet.1.default.name=Subject Name Default policyset.serverCertSet.1.default.params.name=CN=$request.req_subject_name.cn$, OU=pki-ipa, O=IPA policyset.serverCertSet.2.constraint.class_id=validityConstraintImpl policyset.serverCertSet.2.constraint.name=Validity Constraint policyset.serverCertSet.2.constraint.params.range=740 policyset.serverCertSet.2.constraint.params.notBeforeCheck=false policyset.serverCertSet.2.constraint.params.notAfterCheck=false policyset.serverCertSet.2.default.class_id=validityDefaultImpl policyset.serverCertSet.2.default.name=Validity Default policyset.serverCertSet.2.default.params.range=731 policyset.serverCertSet.2.default.params.startTime=0
Cada conjunto de políticas contém uma lista de políticas configuradas para o perfil do certificado por número de identificação da política, na ordem em que devem ser avaliadas. O servidor avalia cada conjunto de políticas para cada solicitação que recebe. Quando uma única solicitação de certificado é recebida, um conjunto é avaliado, e quaisquer outros conjuntos no perfil são ignorados. Quando pares de chaves duplos são emitidos, o primeiro conjunto de apólices é avaliado para a primeira solicitação de certificado, e o segundo conjunto é avaliado para a segunda solicitação de certificado. Não é necessário mais de um conjunto de apólices ao emitir certificados simples ou mais de dois conjuntos ao emitir pares de chaves duplos.
Parâmetro | Descrição |
---|---|
desc |
Uma descrição em texto livre do perfil do certificado, que é mostrada na página final das entidades. Por exemplo, |
habilitar |
Permite que o perfil seja acessível através da página das entidades finais. Por exemplo, |
auth.instance_id |
Define o plug-in do gerenciador de autenticação a ser usado para autenticar o pedido de certificado. Para inscrição automática, a CA emite um certificado imediatamente se a autenticação for bem sucedida. Se a autenticação falhar ou não houver um plug-in de autenticação especificado, o pedido é enfileirado para ser aprovado manualmente por um agente. Por exemplo, |
authz.acl |
Especifica a restrição de autorização. Esta é usada predominantemente para definir a lista de controle de acesso (ACL) de avaliação de grupo. Por exemplo, o parâmetro
Na renovação do certificado de usuário baseado em diretório, esta opção é utilizada para garantir que o requerente original e o usuário atualmente autenticado sejam o mesmo. Uma entidade deve autenticar (vincular ou, essencialmente, entrar no sistema) antes que a autorização possa ser avaliada. |
nome |
O nome do perfil do certificado. Por exemplo, |
input.list |
Lista as entradas permitidas para o perfil do certificado pelo nome. Por exemplo, |
input.input_id.class_id |
Indica o nome da classe java para a entrada por ID de entrada (o nome da entrada listada em input.list). Por exemplo, |
output.list |
Lista os formatos de saída possíveis para o perfil do certificado pelo nome. Por exemplo, |
output.output_id.class_id |
Especifica o nome da classe java para o formato de saída nomeado no output.list. Por exemplo, |
policyset.list |
Lista as regras do perfil de certificado configurado. Para certificados duplos, um conjunto de regras se aplica à chave de assinatura e o outro à chave de criptografia. Certificados únicos usam apenas um conjunto de regras de modelo de certificado. Por exemplo, |
policyset.policyset_id.list |
Lista as políticas dentro do conjunto de políticas configurado para o perfil do certificado por número de identificação da política, na ordem em que devem ser avaliadas. Por exemplo, |
policyset.policyset_id.policy_number.constraint.class_id | Indica o nome da classe java do plug-in de restrição definido para o padrão configurado na regra de perfil. Por exemplo, policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl. |
policyset.policyset_id.policy_number.constraint.name | Dá o nome definido pelo usuário da restrição. Por exemplo, policyset.serverCertSet.1.constraint.name=Subject Name Constraint. |
policyset.policyset_id.policy_number.constraint.params.attribute | Especifica um valor para um atributo permitido para a restrição. Os atributos possíveis variam de acordo com o tipo de restrição. Por exemplo, policyset.serverCertSet.1.constraint.params.pattern=CN=.*. |
policyset.policyset_id.policy_number.default.class_id | Dá o nome da classe java para o padrão definido na regra de perfil. Por exemplo, policyset.serverCertSet.1.default.class_id=userSubjectNameDefaultImpl |
policyset.policyset_id.policy_number.default.name | Dá o nome definido pelo usuário do padrão. Por exemplo, policyset.serverCertSet.1.default.name=Subject Name Default |
policyset.policyset_id.policy_number.default.params.attribute | Especifica um valor para um atributo permitido para o padrão. Os atributos possíveis variam de acordo com o tipo de padrão. Por exemplo, policyset.serverCertSet.1.default.params.name=CN=(Name)$request.requestor_name$. |