Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.2. 设置证书配置文件

在证书系统中,您可以添加、删除和修改注册配置集:

  • 使用 PKI 命令行界面
  • 直接编辑配置文件(仅在安装配置时推荐使用;请参阅 规划、安装和部署指南(通用标准版) 中的第 11 章 配置证书配置文件

本节提供有关 pki CLI 方法的信息。

本节描述了如何使用 pki 工具管理证书配置文件。详情请查看 pki-ca-profile (1) 手册页。

注意

建议使用 raw 格式。有关配置文件的每个属性和字段的详情,请参阅 规划、安装和部署指南(Common criteria Edition) 中的第 11 章 配置证书配置文件

3.2.2. 启用和禁用证书配置文件
复制链接

在编辑证书配置文件前,您必须禁用它。修改完成后,您可以重新启用配置集。

注意

只有 CA 代理可以启用和禁用证书配置文件。

  • 例如,禁用 caCMCECserverCert 证书配置文件: 

    # pki -c password -n caagent ca-profile-disable caCMCECserverCert
    Copy to Clipboard Toggle word wrap

  • 例如,启用 caCMCECserverCert 证书配置文件: 

    # pki -c password -n caagent ca-profile-enable caCMCECserverCert
    Copy to Clipboard Toggle word wrap

3.2.2.1. 以原始格式创建证书配置文件
复制链接

以 raw 格式创建新配置集: 

# pki -c password -n caadmin ca-profile-add profile_name.cfg --raw
Copy to Clipboard Toggle word wrap
注意

在 raw 格式中,指定新的配置集 ID,如下所示: 

profileId=profile_name
Copy to Clipboard Toggle word wrap

3.2.2.2. 使用原始格式编辑证书配置文件
复制链接

CA 管理员可以以原始格式编辑证书配置文件,而无需手动下载配置文件。

例如,编辑 caCMCECserverCert 配置集: 

# pki -c password -n caadmin ca-profile-edit caCMCECserverCert
Copy to Clipboard Toggle word wrap

此命令自动下载原始格式的配置集配置,并在 VI 编辑器中打开它。关闭编辑器时,将在服务器上更新配置文件配置。

编辑配置集后您不需要重启 CA。

重要

在编辑配置集前,请禁用配置集。详情请查看 第 3.2.2 节 “启用和禁用证书配置文件”

例 3.1. 使用原始格式编辑证书配置文件

例如,编辑 caCMCserverCert 配置集以接受多个用户提供的扩展:

  1. 禁用配置集作为 CA 代理: 

    # pki -c password -n caagemt ca-profile-disable caCMCserverCert
    Copy to Clipboard Toggle word wrap

  2. 以 CA 管理员身份编辑配置集:

    • VI 编辑器中下载并打开配置集: 

      # pki -c password -n caadmin ca-profile-edit caCMCserverCert
      Copy to Clipboard Toggle word wrap
    • 更新配置以接受扩展。详情请查看 例 B.3 “CSR 中提供了多个用户扩展”

  3. 启用配置集作为 CA 代理: 

    # pki -c password -n caagent ca-profile-enable caCMCserverCert
    Copy to Clipboard Toggle word wrap

3.2.2.3. 删除证书配置文件
复制链接

删除证书配置文件: 

# pki -c password -n caadmin ca-profile-del profile_name
Copy to Clipboard Toggle word wrap
重要

在删除配置集前,请禁用配置集。详情请查看 第 3.2.2 节 “启用和禁用证书配置文件”

3.2.3. 列出证书注册配置集
复制链接

安装证书系统 CA 时,以下预定义证书配置文件已准备好在此环境中使用和设置。这些证书配置文件专为最常用的证书类型而设计,它们提供常见的默认值、约束、身份验证方法、输入和输出。

有关支持的配置集列表,请查看 第 8.3 节 “CMC 身份验证插件”

要在命令行上列出可用的配置集,请使用 pki 工具。例如: 

# pki -c password -n caadmin ca-profile-find
-------------------
59 entries matched
-------------------
  Profile ID: caCMCserverCert
  Name: Server Certificate Enrollment using CMC
  Description: This certificate profile is for enrolling server certificates using CMC.

  Profile ID: caCMCECserverCert
  Name: Server Certificate wth ECC keys Enrollment using CMC
  Description: This certificate profile is for enrolling server certificates with ECC keys using CMC.

  Profile ID: caCMCECsubsystemCert
  Name: Subsystem Certificate Enrollment with ECC keys using CMC
  Description: This certificate profile is for enrolling subsystem certificates with ECC keys using CMC.

  Profile ID: caCMCsubsystemCert
  Name: Subsystem Certificate Enrollment using CMC
  Description: This certificate profile is for enrolling subsystem certificates using CMC.

-----------------------------------
Number of entries returned 20
Copy to Clipboard Toggle word wrap

详情请查看 pki-ca-profile (1) 手册页。如需更多信息,请参阅 规划、安装和部署指南(通用标准版) 中的第 11 章 配置证书配置文件

3.2.4. 显示证书注册配置文件的详情
复制链接

例如,要显示特定的证书配置文件,如 caECFullCMCUserSignedCert

$ pki -c password -n caadmin ca-profile-show caECFullCMCUserSignedCert

-----------------------------------
Profile "caECFullCMCUserSignedCert"
-----------------------------------
  Profile ID: caECFullCMCUserSignedCert
  Name: User-Signed CMC-Authenticated User Certificate Enrollment
  Description: This certificate profile is for enrolling user certificates with EC keys by using the CMC certificate request with non-agent user CMC authentication.

  Name: Certificate Request Input
  Class: cmcCertReqInputImpl

    Attribute Name: cert_request
    Attribute Description: Certificate Request
    Attribute Syntax: cert_request

  Name: Certificate Output
  Class: certOutputImpl

    Attribute Name: pretty_cert
    Attribute Description: Certificate Pretty Print
    Attribute Syntax: pretty_print

    Attribute Name: b64_cert
    Attribute Description: Certificate Base-64 Encoded
    Attribute Syntax: pretty_print
Copy to Clipboard Toggle word wrap

例如,要以 raw 格式显示特定的证书配置文件,如 caECFullCMCUserSignedCert

$ pki -c password -n caadmin ca-profile-show caECFullCMCUserSignedCert --raw

#Wed Jul 25 14:41:35 PDT 2018
auth.instance_id=CMCUserSignedAuth
policyset.cmcUserCertSet.1.default.params.name=
policyset.cmcUserCertSet.4.default.class_id=authorityKeyIdentifierExtDefaultImpl
policyset.cmcUserCertSet.6.default.params.keyUsageKeyCertSign=false
policyset.cmcUserCertSet.10.default.class_id=noDefaultImpl
policyset.cmcUserCertSet.10.constraint.name=Renewal Grace Period Constraint
output.o1.class_id=certOutputImpl

...
Copy to Clipboard Toggle word wrap

详情请查看 pki-ca-profile (1) 手册页。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat