7.5. 创建规则

规则决定在什么位置发布哪些证书对象。规则独立工作，而不是处理。要发布的证书或 CRL 与每个规则匹配。任何匹配的规则都会被激活。这样，可以将相同的证书或 CRL 发布到文件、在线证书状态管理器，并通过与基于文件的规则、OCSP 规则以及与基于目录的规则匹配来匹配 LDAP 目录。

可以为每个对象类型设置规则： CA 证书、CRL、用户证书和跨对证书。对于不同类型的证书或不同类型的 CRL，规则可以更为详细。

规则首先通过将规则中设置的类型和 predicate 匹配来确定对象是否与对象匹配。其中匹配的对象由与规则关联的发布者和映射程序决定。

为每种类型的证书创建规则，即证书管理器问题。

通过执行以下操作修改发布规则：

登录证书管理器控制台。
```
# pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/ca
```
注意
pkiconsole 已被弃用，并将在以后的主发行版本中被新的基于浏览器的 UI 替代。虽然 pkiconsole 在发布替代 UI 之前继续可用，但我们鼓励在此鼓励使用命令行与 pkiconsole 等效，因为 pki CLI 将继续支持并在将来有新的基于浏览器的 UI 时受到改进。
在 Configuration 选项卡中，从左侧的导航树中选择 Certificate Manager。选择发布，然后选择 Rules。
Rules Management 选项卡列出配置的规则，可在右侧打开。
要编辑现有规则，请从列表中选择该规则，然后单击 Edit。这将打开 Rule Editor 窗口。
若要创建规则，可单击 Add。这会打开 Select Rule Plug-in Implementation 窗口。

选择 Rule 模块。这是唯一的默认模块。如果已经注册了任何自定义模块，它们也可用。
编辑规则。
- 键入。这是规则适用的证书类型。对于 CA 签名证书，值为 cacert。对于跨签名的证书，值为 xcert。对于所有其他证书，值为 certs。对于 CRL，指定 crl。
- 谓词.这会为应用此规则的证书类型或 CRL 发布点设置 predicate 值。CRL 发出点、delta CRL 和证书的 predicate 值列在表 7.3 “predicate 表达式” 中。
- 启用。
- 映射器.向文件发布时不需要映射程序，只有 LDAP 发布只需要它们。如果此规则与发布到 LDAP 目录的发布者关联，请在此处选择适当的映射程序。将空白留给所有其他发布形式。
- 发布程序.设置与规则关联的发布者。

下表列出了可用于识别 CRL 发布点和 delta CRL 和证书配置文件的 predicates。

Expand

表 7.3. predicate 表达式
predicate 类型	predicate
CRL 颁发点	`issuingPointId==Issuing_Point_Instance_ID && isDeltaCRL==[true\|false]` 要仅发布 master CRL，请设置 `isDeltaCRL==false`。要仅发布 delta CRL，请设置 `isDeltaCRL==true`。要发布这两者，请为 master CRL 设置一条规则，并为 delta CRL 设置另一个规则。
证书配置文件	`profileId==profile_name` 要根据用于发布它们的配置集发布证书，请将 `profileId==` 设置为配置文件名称，如 `caServerCert`。

7.5. 创建规则

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links