7.3. 配置发布到 OCSP

配置发布的一般过程涉及设置发布程序来发布证书或 CRL 到特定位置。根据要使用的位置，可以有一个发布者或多个发布程序。位置可以通过证书和 CRL 或更精细的定义来分割，如证书类型。规则通过与发布程序关联来确定要发布和发布到哪个位置。

发布到 OCSP Manager 的一种方法是将 CRL 发布到客户端验证的特定位置。

必须为每个发布位置创建和配置发布者；发布者不会自动创建发布程序以发布到 OCSP 响应器。创建一个发布程序，将所有内容发布到单个位置，或为每个发布 CRL 的位置创建一个发布者。每个位置都可以包含不同类型的 CRL。

启用使用客户端身份验证发布到 OCSP

在创建 OCSP 实例时，会自动设置直接 CA→OCSP CRL 发布。如果您设置了 OCSP 实例，则您可能不需要进一步的操作。

登录证书管理器控制台。
```
pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/ca
```
```
# pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/ca
```
Copy to Clipboard Toggle word wrap
注意
pkiconsole 已被弃用，并将在以后的主发行版本中被新的基于浏览器的 UI 替代。虽然 pkiconsole 在发布替代 UI 之前继续可用，但我们鼓励在此鼓励使用命令行与 pkiconsole 等效，因为 pki CLI 将继续支持并在将来有新的基于浏览器的 UI 时受到改进。
在 Configuration 选项卡中，从左侧的导航树中选择 Certificate Manager。选择发布，然后选择发布软件。

View larger image
单击 Add 以打开 Select publisher Plug-in Implementation 窗口，其中列出了注册的发布者模块。

View larger image
选择 OCSPPublisher 模块，然后打开编辑器窗口。这是使证书管理器能够向在线证书状态管理器发布 CRL 的发布者模块。

View larger image
- publisher ID 必须是没有空格的字母数字字符字符串，如 PublishCertsToOCSP。
- 主机可以是完全限定域名，如 ocspResponder.example.com，也可以是 IPv4 或 IPv6 地址。端口的值是运行 OCSP 服务器的端口号。
- 默认路径是将 CRL 发送到的目录，如 /ocsp/agent/ocsp/addCRL。
- 如果使用客户端身份验证（选中了enableClientAuth ），则 nickname 字段提供用于身份验证的证书的别名。此证书必须已存在于 OCSP 安全数据库中，这通常是 CA 子系统证书。
在 OCSP Manager 上为 CA 创建用户条目。用户在发送一个新的 CRL 时用于向 OCSP 进行身份验证。需要两方面：
- 在 CA 服务器后命名 OCSP 用户条目，如 CA-hostname-EEport。
- 使用发布程序配置中指定的任何证书作为 OCSP 用户帐户中的用户证书。这通常是 CA 的子系统证书。
第 11.3.2.1 节 “创建角色用户” 中涵盖了设置子系统用户。

配置发布程序后，为发布的证书和 CRL 配置规则，如第 7.5 节 “创建规则” 所述。

返回顶部

7.3. 配置发布到 OCSP

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links