3.2. 设置证书配置文件

在证书系统中，您可以添加、删除和修改注册配置集：

使用 PKI 命令行界面
直接编辑配置文件（仅在安装配置时推荐使用；请参阅 规划、安装和部署指南（通用标准版） 中的第 11 章配置证书配置文件。

本节提供有关 pki CLI 方法的信息。

3.2.1. 使用 pki 命令行界面管理证书注册配置集
复制链接

本节描述了如何使用 pki 工具管理证书配置文件。详情请查看 pki-ca-profile (1) 手册页。

注意

建议使用 raw 格式。有关配置文件的每个属性和字段的详情，请参阅 规划、安装和部署指南(Common criteria Edition) 中的第 11 章配置证书配置文件。

3.2.2. 启用和禁用证书配置文件
复制链接

在编辑证书配置文件前，您必须禁用它。修改完成后，您可以重新启用配置集。

注意

只有 CA 代理可以启用和禁用证书配置文件。

例如，禁用 caCMCECserverCert 证书配置文件：

# pki -c password -n caagent ca-profile-disable caCMCECserverCert

例如，启用 caCMCECserverCert 证书配置文件：

# pki -c password -n caagent ca-profile-enable caCMCECserverCert

3.2.2.1. 以原始格式创建证书配置文件
复制链接

以 raw 格式创建新配置集：

# pki -c password -n caadmin ca-profile-add profile_name.cfg --raw

注意

在 raw 格式中，指定新的配置集 ID，如下所示：

profileId=profile_name

3.2.2.2. 使用原始格式编辑证书配置文件
复制链接

CA 管理员可以以原始格式编辑证书配置文件，而无需手动下载配置文件。

例如，编辑 caCMCECserverCert 配置集：

# pki -c password -n caadmin ca-profile-edit caCMCECserverCert

此命令自动下载原始格式的配置集配置，并在 VI 编辑器中打开它。关闭编辑器时，将在服务器上更新配置文件配置。

编辑配置集后您不需要重启 CA。

重要

在编辑配置集前，请禁用配置集。详情请查看第 3.2.2 节 “启用和禁用证书配置文件”。

例 3.1. 使用原始格式编辑证书配置文件

例如，编辑 caCMCserverCert 配置集以接受多个用户提供的扩展：

禁用配置集作为 CA 代理：

# pki -c password -n caagemt ca-profile-disable caCMCserverCert

以 CA 管理员身份编辑配置集：
- 在 VI 编辑器中下载并打开配置集：
  # pki -c password -n caadmin ca-profile-edit caCMCserverCert
- 更新配置以接受扩展。详情请查看例 B.3 “CSR 中提供了多个用户扩展”。

启用配置集作为 CA 代理：

# pki -c password -n caagent ca-profile-enable caCMCserverCert

3.2.2.3. 删除证书配置文件
复制链接

删除证书配置文件：

# pki -c password -n caadmin ca-profile-del profile_name

重要

在删除配置集前，请禁用配置集。详情请查看第 3.2.2 节 “启用和禁用证书配置文件”。

3.2.3. 列出证书注册配置集
复制链接

安装证书系统 CA 时，以下预定义证书配置文件已准备好在此环境中使用和设置。这些证书配置文件专为最常用的证书类型而设计，它们提供常见的默认值、约束、身份验证方法、输入和输出。

有关支持的配置集列表，请查看第 8.3 节 “CMC 身份验证插件”

要在命令行上列出可用的配置集，请使用 pki 工具。例如：

# pki -c password -n caadmin ca-profile-find
-------------------
59 entries matched
-------------------
  Profile ID: caCMCserverCert
  Name: Server Certificate Enrollment using CMC
  Description: This certificate profile is for enrolling server certificates using CMC.

  Profile ID: caCMCECserverCert
  Name: Server Certificate wth ECC keys Enrollment using CMC
  Description: This certificate profile is for enrolling server certificates with ECC keys using CMC.

  Profile ID: caCMCECsubsystemCert
  Name: Subsystem Certificate Enrollment with ECC keys using CMC
  Description: This certificate profile is for enrolling subsystem certificates with ECC keys using CMC.

  Profile ID: caCMCsubsystemCert
  Name: Subsystem Certificate Enrollment using CMC
  Description: This certificate profile is for enrolling subsystem certificates using CMC.

-----------------------------------
Number of entries returned 20

详情请查看 pki-ca-profile (1) 手册页。如需更多信息，请参阅 规划、安装和部署指南（通用标准版） 中的第 11 章配置证书配置文件。

3.2.4. 显示证书注册配置文件的详情
复制链接

例如，要显示特定的证书配置文件，如 caECFullCMCUserSignedCert ：

$ pki -c password -n caadmin ca-profile-show caECFullCMCUserSignedCert

-----------------------------------
Profile "caECFullCMCUserSignedCert"
-----------------------------------
  Profile ID: caECFullCMCUserSignedCert
  Name: User-Signed CMC-Authenticated User Certificate Enrollment
  Description: This certificate profile is for enrolling user certificates with EC keys by using the CMC certificate request with non-agent user CMC authentication.

  Name: Certificate Request Input
  Class: cmcCertReqInputImpl

    Attribute Name: cert_request
    Attribute Description: Certificate Request
    Attribute Syntax: cert_request

  Name: Certificate Output
  Class: certOutputImpl

    Attribute Name: pretty_cert
    Attribute Description: Certificate Pretty Print
    Attribute Syntax: pretty_print

    Attribute Name: b64_cert
    Attribute Description: Certificate Base-64 Encoded
    Attribute Syntax: pretty_print

例如，要以 raw 格式显示特定的证书配置文件，如 caECFullCMCUserSignedCert ：

$ pki -c password -n caadmin ca-profile-show caECFullCMCUserSignedCert --raw

#Wed Jul 25 14:41:35 PDT 2018
auth.instance_id=CMCUserSignedAuth
policyset.cmcUserCertSet.1.default.params.name=
policyset.cmcUserCertSet.4.default.class_id=authorityKeyIdentifierExtDefaultImpl
policyset.cmcUserCertSet.6.default.params.keyUsageKeyCertSign=false
policyset.cmcUserCertSet.10.default.class_id=noDefaultImpl
policyset.cmcUserCertSet.10.constraint.name=Renewal Grace Period Constraint
output.o1.class_id=certOutputImpl

...

详情请查看 pki-ca-profile (1) 手册页。

3.2. 设置证书配置文件

3.2.1. 使用 pki 命令行界面管理证书注册配置集
复制链接

3.2.2. 启用和禁用证书配置文件
复制链接

3.2.2.1. 以原始格式创建证书配置文件
复制链接

3.2.2.2. 使用原始格式编辑证书配置文件
复制链接

3.2.2.3. 删除证书配置文件
复制链接

3.2.3. 列出证书注册配置集
复制链接

3.2.4. 显示证书注册配置文件的详情
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

3.2. 设置证书配置文件

3.2.1. 使用 pki 命令行界面管理证书注册配置集复制链接链接已复制到粘贴板!

3.2.2. 启用和禁用证书配置文件复制链接链接已复制到粘贴板!

3.2.2.1. 以原始格式创建证书配置文件复制链接链接已复制到粘贴板!

3.2.2.2. 使用原始格式编辑证书配置文件复制链接链接已复制到粘贴板!

3.2.2.3. 删除证书配置文件复制链接链接已复制到粘贴板!

3.2.3. 列出证书注册配置集复制链接链接已复制到粘贴板!

3.2.4. 显示证书注册配置文件的详情复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

3.2.1. 使用 pki 命令行界面管理证书注册配置集
复制链接

3.2.2. 启用和禁用证书配置文件
复制链接

3.2.2.1. 以原始格式创建证书配置文件
复制链接

3.2.2.2. 使用原始格式编辑证书配置文件
复制链接

3.2.2.3. 删除证书配置文件
复制链接

3.2.3. 列出证书注册配置集
复制链接

3.2.4. 显示证书注册配置文件的详情
复制链接