红帽全球峰会15.4. 管理智能卡 CA 配置集
TMS 上的功能没有在评估中测试。本节仅供参考。
TPS 不会生成或批准证书请求;它会将通过企业安全客户端批准的任何请求发送到配置的 CA 以发布证书。这意味着 CA 实际上包含用于令牌和智能卡的配置集。根据卡类型,可以自动分配要使用的配置集。
配置文件位于 /var/lib/ instance_name/ca/profiles/ca/ 目录中,以及其他 CA 配置集。默认配置集列在 表 15.2 “默认令牌证书配置文件” 中。
| 配置集名称 | 配置文件 | 描述 |
|---|---|---|
|
| 令牌设备密钥注册 | caTokenDeviceKeyEnrollment.cfg |
| 用于注册用于设备或服务器的令牌。 | 令牌用户加密证书注册 | caTokenUserEncryptionKeyEnrollment.cfg |
| 为用户在令牌中注册加密证书。 | 令牌用户签名证书注册 | caTokenUserSigningKeyEnrollment.cfg |
| 为用户在令牌中注册签名证书。 | 令牌用户 MS 登录证书注册 | caTokenMSLoginEnrollment.cfg |
| 用于注册用户证书以单点登录到 Windows 域或 PC。 |
| 临时设备证书注册 |
| caTempTokenDeviceKeyEnrollment.cfg | 在临时令牌中注册设备的证书。 | 临时令牌用户加密证书注册 |
| caTempTokenUserEncryptionKeyEnrollment.cfg | 为用户在临时令牌中注册加密证书。 | 临时令牌用户签名证书注册 |
| caTempTokenUserSigningKeyEnrollment.cfg | 为用户在临时令牌中注册签名证书。 |
|
| 令牌用户加密证书注册(续订) | caTokenUserEncryptionKeyRenewal.cfg | 如果允许续订,在令牌上为用户续订加密证书。 |
| 令牌用户签名证书注册(续订) | caTokenUserSigningKeyRenewal.cfg | 如果允许续订,在令牌上为用户续订签名证书。 |
15.4.1. 编辑 tps 的注册配置文件
管理员可以自定义默认的智能卡注册配置文件,与 TPS 一起使用。例如,可以编辑配置文件,在 Subject Alternative Name 扩展中包含用户的电子邮件地址。用户的电子邮件地址从身份验证目录检索。要为 LDAP 访问配置 CA,请使用适当的目录信息更改配置集文件中的以下参数:
policyset.set1.p1.default.params.dnpattern=UID=$request.uid$, O=Token Key User policyset.set1.p1.default.params.ldap.enable=true policyset.set1.p1.default.params.ldap.basedn=ou=people,dc=host,dc=example,dc=com policyset.set1.p1.default.params.ldapStringAttributes=uid,mail policyset.set1.p1.default.params.ldap.ldapconn.host=localhost.example.com policyset.set1.p1.default.params.ldap.ldapconn.port=389
这些 CA 配置集默认为禁用 LDAP 查找。ldapStringAttributes 参数告知 CA 从公司目录中检索哪些 LDAP 属性。例如,如果目录包含 uid 作为 LDAP 属性名称,并且这将用于证书的主题名称,那么 uid 必须列在 ldapStringAttributes 参数中,并且 request.uid 列为 dnpattern 中的其中一个组件。
Red Hat Certificate System Administration Guide 中的 Setting up Certificate Profiles 部分介绍了编辑证书配置文件。
dnpattern 参数的格式包含在 Red Hat Certificate System Administration Guide 中的 Subject Name Constraint 部分中。
15.4.2. 创建自定义 TPS 配置集
证书配置文件在 CA 中正常创建,但还必须在 TPS 中配置,以便其可用于令牌注册。
使用新版本的 Red Hat Certificate System 添加新配置集。如果实例迁移到证书系统 10.0,则需要将新配置集添加到迁移的实例中,就像它们是自定义配置集一样。
- 为发布 CA 创建新令牌配置文件。Red Hat Certificate System Administration Guide 中的 Setting up Certificate Profiles 部分中涵盖了设置配置文件。
-
将配置集复制到 CA 的配置集目录中
/var/lib/ instance_name/ca/profiles/ca/。 编辑 CA 的
CS.cfg文件,并将新配置集引用和配置集名称添加到 CA 的配置集列表中。例如:# vim etc/pki/ instance_name/ca/CS.cfg profile.list=caUserCert,...,caManualRenewal,tpsExampleEnrollProfile ... profile.caTokenMSLoginEnrollment.class_id=caUserCertEnrollImpl profile.caTokenMSLoginEnrollment.config=/var/lib/pki/ instance_name/profiles/ca/tpsExampleEnrollProfile.cfg
编辑 TPS
CS.cfg文件,并添加一行以指向新的 CA 注册配置集。例如:# vim /etc/pki/ instance_name/tps/CS.cfg op.enroll.userKey.keyGen.signing.ca.profileId=tpsExampleEnrollProfile编辑智能卡配置集后重启实例:
# systemctl restart pki-tomcatd-nuxwdog@instance_name.service如果 CA 和 TPS 位于单独的实例中,请重启两个实例。
外部注册(externalReg)设置的注册配置文件在用户 LDAP 条目中进行配置。
15.4.3. 使用 Windows 智能卡日志on 配置集
TPS 使用配置文件生成用于 Windows 域或 PC 的单点登录的证书;这是 Token User MS Login Certificate Enrollment 配置集(caTokenMSLoginEnrollment.cfg)。
但是,在配置 Windows 智能卡登录时,管理员必须 考虑一些特殊考虑。
- 如果尚未为 TLS 配置证书,向域控制器发布证书。
- 为每个用户配置智能卡登录,而不是作为全局策略,以防止锁定域管理员。
- 启用 CRL 发布到 Active Directory 服务器,因为域控制器在每次登录时检查 CRL。
