红帽全球峰会D.3. 特定于证书的 ACL
本节介绍为证书管理器设置的默认访问控制配置属性。CA ACL 配置还包括 第 D.2 节 “常用 ACL” 中列出的所有常用 ACL。
为每个 CA 接口(管理控制台和代理以及终端服务页面)以及列出和下载证书等常用操作设置了访问控制规则。
D.3.1. certServer.admin.ocsp
将证书管理器的 OCSP 配置的访问权限限制为企业 OCSP 管理员组的成员。
allow (modify,read) group="Enterprise OCSP Administrators"
allow (modify,read) group="Enterprise OCSP Administrators"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 修改 | 修改 OCSP 配置、OCSP 存储配置和默认的 OCSP 存储。 | Allow | 企业 OCSP 管理员 |
| 读取 | 阅读 OCSP 配置。 | Allow | 企业 OCSP 管理员 |
D.3.2. certServer.ca.certificate
控制代理服务接口中证书的基本管理操作,包括导入和撤销证书。默认配置是:
allow (import,unrevoke,revoke,read) group="Certificate Manager Agents"
allow (import,unrevoke,revoke,read) group="Certificate Manager Agents"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| import | 按序列号检索证书。 | Allow | 证书管理器代理 |
| unrevoke | 从撤销更改证书的状态。 | Allow | 证书管理器代理 |
| revoke | 将证书的状态更改为撤销。 | Allow | 证书管理器代理 |
| 读取 | 根据请求 ID 检索证书,并根据请求 ID 或序列号显示证书详细信息。 | Allow | 证书管理器代理 |
D.3.3. certServer.ca.certificates
控制通过代理服务接口列出或撤销证书的操作。默认配置是:
allow (revoke,list) group="Certificate Manager Agents"|| group="Registration Manager Agents"
allow (revoke,list) group="Certificate Manager Agents"|| group="Registration Manager Agents"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| revoke | 吊销证书或批准证书撤销请求。从 TPS 撤销证书。提示用户输入有关吊销请求的其他数据。 | Allow |
|
| list | 根据搜索列出证书。根据一系列序列号,检索有关一系列证书的详细信息。 | Allow |
|
D.3.4. certServer.ca.configuration
控制证书管理器常规配置的操作。默认配置是:
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 读取 | 查看 CRL 插件信息、常规 CA 配置、CA 连接器配置、CRL 发出点配置、CRL 配置集配置、请求通知配置、队列通知配置中的请求,以及 CRL 扩展配置。列出 CRL 扩展配置和 CRL 发出点配置。 | Allow |
|
| 修改 | 添加和删除 CRL 发布点。修改常规 CA 设置、CA 连接器配置、CRL 发出点配置、CRL 配置、请求通知配置、撤销通知配置、队列通知配置以及 CRL 扩展配置。 | Allow | 管理员 |
D.3.5. certServer.ca.connector
控制通过特殊连接器向 CA 提交请求的操作。默认配置是:
allow (submit) group="Trusted Managers"
allow (submit) group="Trusted Managers"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 提交 | 提交来自远程可信管理器的请求。 | Allow | 可信管理器 |
D.3.6. certServer.ca.connectorInfo
控制对连接器信息的访问,以管理 CA 和 KRA 之间的信任关系。这些信任关系是特殊的配置,允许 CA 和 KRA 自动连接来执行密钥归档和恢复操作。这些信任关系通过特殊的连接器插件进行配置。
allow (read) group="Enterprise KRA Administrators";allow (modify) group="Enterprise KRA Administrators" || group="Subsystem Group"
allow (read) group="Enterprise KRA Administrators";allow (modify) group="Enterprise KRA Administrators" || group="Subsystem Group"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 读取 | 读取连接器插件设置。 | Allow | Enterprise KRA Administrators |
| 修改 | 修改连接器插件设置。 | Allow |
|
D.3.7. certServer.ca.crl
控制通过代理服务接口读取或更新 CRL 的访问。默认设置为:
allow (read,update) group="Certificate Manager Agents"
allow (read,update) group="Certificate Manager Agents"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 读取 | 显示 CRL 并获取有关 CA CRL 处理的详细信息。 | Allow | 证书管理器代理 |
| update | 更新 CRL。 | Allow | 证书管理器代理 |
D.3.8. certServer.ca.directory
控制对用于发布证书和 CRL 的 LDAP 目录的访问。
allow (update) group="Certificate Manager Agents"
allow (update) group="Certificate Manager Agents"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| update | 将 CA 证书、CRL 和用户证书发布到 LDAP 目录。 | Allow | 证书管理器代理 |
D.3.9. certServer.ca.group
控制内部数据库的访问,以便为证书管理器实例添加用户和组。
allow (modify,read) group="Administrators"
allow (modify,read) group="Administrators"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 修改 | 创建、编辑或删除实例的用户和组条目。在属性中添加或修改用户证书 | Allow | 管理员 |
| 读取 | 查看实例的用户和组条目。 | Allow | 管理员 |
D.3.10. certServer.ca.ocsp
控制通过代理服务接口访问和读取 OCSP 信息(如用量统计)的能力。
allow (read) group="Certificate Manager Agents"
allow (read) group="Certificate Manager Agents"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 读取 | 检索 OCSP 使用量统计数据。 | Allow | 证书管理器代理 |
D.3.11. certServer.ca.profile
在代理服务页面中控制对证书配置文件配置的访问。
allow (read,approve) group="Certificate Manager Agents"
allow (read,approve) group="Certificate Manager Agents"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 读取 | 查看证书配置文件的详情。 | Allow | 证书管理器代理 |
| 批准 | 批准并启用证书配置文件。 | Allow | 证书管理器代理 |
D.3.12. certServer.ca.profiles
控制在代理服务接口中列出证书配置文件的访问。
allow (list) group="Certificate Manager Agents"
allow (list) group="Certificate Manager Agents"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| list | 列出证书配置文件。 | Allow | 证书管理器代理 |
D.3.13. certServer.ca.registerUser
定义哪些组或用户可以为实例创建代理用户。默认配置是:
allow (modify,read) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators" || group="Enterprise TPS Administrators"
allow (modify,read) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators" || group="Enterprise TPS Administrators"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 修改 | 注册新代理。 | Allow | Enterprise Administrators |
| 读取 | 读取现有代理信息。 | Allow | Enterprise Administrators |
D.3.14. certServer.ca.request.enrollment
控制如何处理和分配注册请求。默认设置为:
allow (submit) user="anybody";allow (read,execute,assign,unassign) group="Certificate Manager Agents"
allow (submit) user="anybody";allow (read,execute,assign,unassign) group="Certificate Manager Agents"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 读取 | 查看注册请求。 | Allow | 证书管理器代理 |
| 执行 | 修改请求的批准状态。 | Allow | 证书管理器代理 |
| 提交 | Sumbit a 请求。 | Allow | anybody |
| 分配 | 为证书管理器代理分配请求。 | Allow | 证书管理器代理 |
| 取消分配 | 更改请求的分配。 | Allow | 证书管理器代理 |
D.3.15. certServer.ca.request.profile
控制基于证书配置文件的请求的处理。默认设置为:
allow (approve,read) group="Certificate Manager Agents"
allow (approve,read) group="Certificate Manager Agents"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 批准 | 修改基于证书配置文件的证书请求的批准状态。 | Allow | 证书管理器代理 |
| 读取 | 查看基于证书配置文件的证书请求。 | Allow | 证书管理器代理 |
D.3.16. certServer.ca.requests
控制谁可以在代理服务接口中列出证书请求。
allow (list) group="Certificate Manager Agents"|| group="Registration Manager Agents"
allow (list) group="Certificate Manager Agents"|| group="Registration Manager Agents"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| list | 检索有关一系列请求的详细信息,并使用复杂的过滤器搜索证书。 | Allow |
|
D.3.17. certServer.ca.systemstatus
控制谁可以查看证书管理器实例的统计信息。
allow (read) group="Certificate Manager Agents"
allow (read) group="Certificate Manager Agents"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 读取 | 查看统计信息。 | Allow | 证书管理器代理 |
D.3.18. certServer.ee.certchain
控制谁可以访问终端实体页面中的 CA 证书链。
allow (download,read) user="anybody"
allow (download,read) user="anybody"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 下载 | 下载 CA 的证书链。 | Allow | Anyone |
| 读取 | 查看 CA 的证书链。 | Allow | Anyone |
D.3.19. certServer.ee.certificate
控制谁可以通过最终用户页面访问证书,用于导入或撤销证书等大多数操作。
allow (renew,revoke,read,import) user="anybody"
allow (renew,revoke,read,import) user="anybody"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 续订 | 提交请求以续订现有证书。 | Allow | Anyone |
| revoke | 提交用户证书的吊销请求。 | Allow | Anyone |
| 读取 | 根据证书序列号或请求 ID 检索和查看证书。 | Allow | Anyone |
| import | 根据序列号导入证书。 | Allow | Anyone |
D.3.20. certServer.ee.certificates
控制谁列出了撤销的证书,或者在终端实体页面中提交吊销请求。
allow (revoke,list) user="anybody"
allow (revoke,list) user="anybody"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| revoke | 提交要撤销的证书列表。 | Allow | 要撤销的证书的主题必须与出示的证书匹配,才能向 CA 进行身份验证。 |
| list | 搜索与指定条件匹配的证书。 | Allow | Anyone |
D.3.21. certServer.ee.crl
通过终端实体页面控制对 CRL 的访问。
allow (read,add) user="anybody"
allow (read,add) user="anybody"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 读取 | 检索并查看证书撤销列表。 | Allow | Anyone |
| add | 在 OCSP 服务器中添加 CRL。 | Allow | Anyone |
D.3.22. certServer.ee.profile
控制最终实体页面中对证书配置文件的一些访问,包括谁可以查看配置文件的详情或通过配置文件提交请求。
allow (submit,read) user="anybody"
allow (submit,read) user="anybody"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 提交 | 通过证书配置文件提交证书请求。 | Allow | Anyone |
| 读取 | 显示证书配置文件的详细信息. | Allow | Anyone |
D.3.23. certServer.ee.profiles
控制谁可以在终端实体页面中列出活动的证书配置文件。
allow (list) user="anybody"
allow (list) user="anybody"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| list | 列出证书配置文件。 | Allow | Anyone |
D.3.24. certServer.ee.request.ocsp
根据客户端提交 OCSP 请求的 IP 地址控制访问。
allow (submit) ipaddress=".*"
allow (submit) ipaddress=".*"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 提交 | 提交 OCSP 请求。 | Allow | 所有 IP 地址 |
D.3.25. certServer.ee.request.revocation
控制用户可以在终端实体页面中提交证书撤销请求。
allow (submit) user="anybody"
allow (submit) user="anybody"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 提交 | 提交用于撤销证书的请求。 | Allow | Anyone |
D.3.26. certServer.ee.requestStatus
控制谁可以在最终用户页面中查看证书请求的状态。
allow (read) user="anybody"
allow (read) user="anybody"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 读取 | 检索已针对该请求发出的任何证书的请求和序列号。 | Allow | Anyone |
D.3.27. certServer.job.configuration
控制谁可以为证书管理器配置作业。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 读取 | 查看基本作业设置、作业实例设置和作业插件设置。列出作业插件和作业实例。 | Allow |
|
| 修改 | 添加和删除作业插件和作业实例。修改作业插件和作业实例。 | Allow | 管理员 |
D.3.28. certServer.profile.configuration
控制对证书配置文件配置的访问。默认设置为:
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 读取 | 查看证书配置文件默认值和约束、输入、输入配置、输出配置、默认配置、策略限制配置和证书配置文件实例配置。列出证书配置文件插件和证书配置文件实例。 | Allow |
|
| 修改 | 添加、修改和删除证书配置文件默认值和约束、输入、输出和证书配置文件实例。添加和修改默认策略约束配置。 | Allow | 管理员 |
D.3.29. certServer.publisher.configuration
控制谁可以查看并编辑证书管理器的发布配置。默认配置是:
allow (read) group="Administrators" || group="Auditors" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents";allow (modify) group="Administrators"
allow (read) group="Administrators" || group="Auditors" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents";allow (modify) group="Administrators"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 读取 | 查看 LDAP 服务器目的地信息、发布程序插件配置、发布者实例配置、映射程序插件配置、映射器实例配置、规则插件配置和规则实例配置。列出发布程序插件和实例、规则插件和实例,以及映射程序插件和实例。 | Allow |
|
| 修改 | 添加和删除发布程序插件、发布程序实例、映射程序插件、映射器实例、规则插件和规则实例。修改发布者实例、映射器实例、规则实例和 LDAP 服务器目的地信息。 | Allow | 管理员 |
D.3.30. certServer.securitydomain.domainxml
控制对由域主机证书管理器在注册表中维护的安全域信息的访问。在配置期间由子系统实例直接访问和修改安全域配置,因此必须始终允许适当的访问,或者配置可能会失败。
allow (read) user="anybody";allow (modify) group="Subsystem Group"
allow (read) user="anybody";allow (modify) group="Subsystem Group"| 操作 | 描述 | allow/Deny Access | 针对用户/组 |
|---|---|---|---|
| 读取 | 查看安全域配置。 | Allow | anybody |
| 修改 | 通过更改实例信息以及添加和删除实例来修改安全域配置。 | Allow |
|
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}