10.4. CMC SharedSecret 身份验证
使用 Shared Secret 功能让用户向服务器发送未签名的 CMC 请求。例如,如果用户想要获取第一个签名证书,则需要此项。此签名证书稍后可用于为此用户的其他证书签名。
10.4.1. 创建共享 Secret 令牌
Red Hat Certificate System Planning, Installation, and Deployment Guide 中的 Shared Secret Workflow 部分描述了使用共享 Secret 令牌时的工作流。根据情况,最终用户或管理员会创建共享 Secret 令牌。
注意
要使用共享机密令牌,证书系统必须使用 RSA 颁发保护证书。详情请参阅 RHCS 规划、安装和部署指南中的启用 CMC 共享 Secret 功能部分。
要创建共享 Secret Token,请输入:
# CMCSharedToken -d /home/user_name/.dogtag/ -p NSS_password \ -s "CMC_enrollment_password" -o /home/user_name/CMC_shared_token.b64 \ -n "issuance_protection_certificate_nickname"
如果使用 HSM,还要将
-h token_name 选项传给命令来设置 HSM 安全令牌名称。
有关
CMCSharedToken 工具的详情,请查看 CMCSharedToken(8) man page。
注意
生成的令牌是加密的,只有生成的用户知道密码。如果 CA 管理员为用户生成令牌,管理员必须以安全的方式向用户提供密码。
创建共享令牌后,管理员必须将令牌添加到用户或证书记录中。详情请查看 第 10.4.2 节 “设置 CMC 共享 Secret”。
10.4.2. 设置 CMC 共享 Secret
根据计划的操作,管理员必须在生成用户或证书的 LDAP 条目后存储共享 Secret 令牌。
有关工作流以及使用共享 Secret 的详细信息,请参阅 Red Hat Certificate System Planning, Installation and Deployment Guide 中的 Shared Secret Workflow 部分。
10.4.2.1. 将 CMC 共享 Secret 添加到用于证书注册的用户条目中
要将 Shared Secret Token 用于证书注册,请作为管理员存储在用户的 LDAP 条目中:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x dn: uid=user_name,ou=People,dc=example,dc=com changetype: modify replace: shrTok shrTok: base64-encoded_token
10.4.2.2. 将 CMC 共享 Secret 添加到证书中以进行证书撤销
要将 Shared Secret Token 用于证书撤销,请将它作为管理员存储在要撤销的证书的 LDAP 条目中:
# ldapmodify -D "cn=Directory Manager" -W -p 389 -h server.example.com -x dn: cn=certificate_id,ou=certificateRepository,ou=ca,o=pki-tomcat-CA changetype: modify replace: shrTok shrTok: base64-encoded_token
