红帽全球峰会第 15 章 配置证书配置文件
作为 CA 的安装过程的一部分,可以通过修改配置集的配置文件直接修改证书注册配置文件。安装时默认配置集存在默认文件;当需要新配置集时,将创建新的配置集配置文件。配置文件存储在 CA 配置文件目录 instance_directory/ca/profiles/ca/ 中,如 /var/lib/pki/pki-ca/ca/profiles/ca/。该文件名为 profile_name.cfg。可以在这些配置集配置文件中设置或修改配置集规则的所有参数。配置集规则可以是输入、输出、身份验证、授权、默认值和约束。
CA 证书的注册配置集位于 /var/lib/pki/ instance_name/ca/conf 目录中,名称为 dc profile。
出于审核原因,仅在部署前 CA 安装过程中使用此方法。
编辑配置文件后重新启动服务器,以使更改生效。
15.1. 配置非 CA 系统证书配置文件
15.1.1. 配置集配置参数
配置集规则的所有参数 - 默认值、输入、输出和约束 - 在单个策略集中配置。为配置集设置的策略具有名称 policyset.policyName.policyNumber。例如:
policyset.cmcUserCertSet.6.constraint.class_id=noConstraintImpl policyset.cmcUserCertSet.6.constraint.name=No Constraint policyset.cmcUserCertSet.6.default.class_id=userExtensionDefaultImpl policyset.cmcUserCertSet.6.default.name=User Supplied Key Default policyset.cmcUserCertSet.6.default.params.userExtOID=2.5.29.15
policyset.cmcUserCertSet.6.constraint.class_id=noConstraintImpl
policyset.cmcUserCertSet.6.constraint.name=No Constraint
policyset.cmcUserCertSet.6.default.class_id=userExtensionDefaultImpl
policyset.cmcUserCertSet.6.default.name=User Supplied Key Default
policyset.cmcUserCertSet.6.default.params.userExtOID=2.5.29.15常见配置集配置参数在 表 15.1 “配置文件参数” 中进行了描述。
| 参数 | 描述 |
|---|---|
| desc | 提供证书配置文件的自由文本描述,该配置文件显示在终端实体页面中。例如,desc=This certificate profile 用于使用代理身份验证注册服务器证书。 |
| enable | 设置配置集是否已启用,因此可通过终端实体页面访问。例如:enable=true。 |
| auth.instance_id |
设置身份验证管理器插件,用来验证通过配置集提交的证书请求。要进行自动注册,如果身份验证成功,CA 会立即发布证书。如果身份验证失败或者没有指定身份验证插件,则会将请求排队,来由代理手动批准。例如,auth.instance_id=CMCAuth。身份验证方法必须是来自 |
| authz.acl | 指定授权约束。大多数情况下,我们用来设置组评估 ACL。例如,此 caCMCUserCert 参数要求 CMC 请求的签名者属于证书管理器代理组: authz.acl=group="Certificate Manager Agents" 在基于目录的用户证书续订中,此选项用于确保原始请求者和当前验证的用户是同一个。
在评估授权前,实体必须验证(绑定或登录到系统)。指定的授权方法必须是 |
| name | 指定配置集的名称。例如,name=Agent-Authenticated Server Certificate Enrollment。此名称显示在最终用户注册或续订页面中。 |
| input.list | 按名称列出配置集允许的输入。例如,input.list=i1,i2。 |
| input.input_id.class_id | 按输入 ID (在 input.list中列出的输入名称)提供输入的 java 类名称。例如: input.i1.class_id=cmcCertReqInputImpl。 |
| output.list | 按名称列出配置集的可能输出格式。例如 output.list=o1。 |
| output.output_id.class_id | 给出在 output.list 中名为 的输出格式的 java 类名称。例如: output.o1.class_id=certOutputImpl。 |
| policyset.list | 列出配置的配置集规则。对于双证书,一组规则适用于签名密钥,另一组规则适用于加密密钥。单个证书只使用一组配置集规则。例如,policyset.list=serverCertSet。 |
| policyset.policyset_id.list | 根据策略 ID 号为配置集配置的策略集中列出策略集中的策略,按照评估它们的顺序列出。例如: policyset.serverCertSet.list=1,2,3,4,5,6,7,8。 |
| policyset._policyset_id.policy_number._constraint.class_id | 为配置集规则中配置的默认约束插件集提供 java 类名称。例如,policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl。 |
| policyset._policyset_id.policy_number._constraint.name | 提供用户定义的约束名称。例如,policyset.serverCertSet.1.constraint.name=Subject Name Constraint。 |
| policyset.policyset_id.policy_number._constraint.params._attribute | 为约束的允许的属性指定值。可能的属性因约束类型而异。例如,policyset.serverCertSet.1.constraint.params.pattern=CN=adtrust。 |
| policyset._policyset_id.policy_number._default.class_id | 给出配置文件规则中默认集的 java 类名称。For example, policyset.serverCertSet.1.default.class_id=userSubjectNameDefaultImpl |
| policyset._policyset_id.policy_number._default.name | 给出用户定义的默认值的名称。例如,policyset.serverCertSet.1.default.name=Subject Name Default |
| policyset.policyset_id.policy_number._default.params._attribute | 为默认值的允许的属性指定值。可能的属性因默认类型而异。例如,policyset.serverCertSet.1.default.params.name=CN=(Name)$request.requestor_name$。 |
15.1.2. 在文件系统中直接修改证书扩展
更改限制会更改可以提供的信息类型的限制。更改 defaults 和 constraints 也可以添加、删除或修改证书请求接受或所需的扩展。
例如,默认的 caFullCMCUserCert 配置集被设置为从请求中的信息创建 Key Usage 扩展。
默认被更新为允许用户提供的密钥扩展:
policyset.cmcUserCertSet.6.default.class_id=userExtensionDefaultImpl policyset.cmcUserCertSet.6.default.name=User Supplied Key Default policyset.cmcUserCertSet.6.default.params.userExtOID=2.5.29.15
policyset.cmcUserCertSet.6.default.class_id=userExtensionDefaultImpl
policyset.cmcUserCertSet.6.default.name=User Supplied Key Default
policyset.cmcUserCertSet.6.default.params.userExtOID=2.5.29.15
这会将服务器设置为在证书请求中接受扩展 OID 2.5.29.15。
其他限制和默认值可类似更改。确保包含适当默认值所需的限制,在需要不同约束时更改了默认值,并且默认只使用允许的约束。如需更多信息,请参阅 Red Hat Certificate System Administration Guide 中的 Defaults Reference 部分和约束 参考部分。
15.1.2.1. 密钥使用和扩展密钥使用一致性
Red Hat Certificate System 为管理员提供了一个灵活的基础架构,可创建自定义注册配置文件来满足其环境的要求。但是,配置集不允许发布违反 RFC 5280 中定义的要求的证书。当创建密钥用法(KU)和扩展的密钥使用情况(EKU)扩展时,务必要确保根据 4.2.1.12 保持两个扩展之间的一致性。RFC 5280 的扩展密钥使用.
有关 KU 扩展的详情,请参考:
下表提供了将一致的密钥使用位映射到扩展的密钥用法扩展指南:
| 用途/扩展的密钥用法 | 密钥用法 |
|---|---|
| TLS 服务器身份验证命令
|
|
| TLS 客户端(Mutual)身份验证
|
|
| 代码签名
|
|
| 电子邮件保护
|
|
| OCSP 响应签名
|
|
下面显示了两个不一致的 EKU/KU 示例:
用于 OCSP 响应签名的注册配置集包含扩展密钥使用
id-kp-OCSPSigning,但使用keyEncipherment密钥使用位:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 用于 TLS 服务器身份验证的注册配置集包含扩展密钥
使用 id-kp-serverAuth,但使用 CRL 签名密钥使用位:Copy to Clipboard Copied! Toggle word wrap Toggle overflow - Red Hat Certificate System Administration Guide 中的 Extended Key Usage Extension Constraint 部分。
- Red Hat Certificate System Administration Guide 中的 keyUsage 部分。
有关 EKU 扩展的详情,请参考:
- Red Hat Certificate System Administration Guide 中的 Extended Key Usage Extension Constraint 部分。
- Red Hat Certificate System Administration Guide 中的 extKeyUsage 部分。
15.1.2.2. 配置跨对配置集
跨对证书是不同的 CA 签名证书,它们建立一个信任关系,其中来自这两个不同 PKI 的实体将相互信任。两个合作伙伴 CA 将其他 CA 签名证书存储在其数据库中,因此其他 PKI 中发布的所有证书都不被信任并识别。
证书系统支持的两个扩展可用于建立这样的信任关系(跨认证):
-
证书策略扩展(
CertificatePoliciesExtension)指定证书所属的术语,这通常对每个 PKI 是唯一的。 -
Policy Mapping Extension (
PolicyMappingExtension)通过映射两个环境的证书配置文件来封装两个 PKI 之间的信任。
发布跨对证书需要证书策略扩展,在 Red Hat Certificate System Administration Guide 中的 certificatePoliciesExt anex 所述。
为确保发布的证书包含 CertificatePoliciesExtension,注册配置集需要包含适当的策略规则,例如:
本例中使用注册配置文件发布的证书将包含以下信息:
Identifier: Certificate Policies: - 2.5.29.32 Critical: no Certificate Policies: Policy Identifier: 1.1.1.1
Identifier: Certificate Policies: - 2.5.29.32
Critical: no
Certificate Policies:
Policy Identifier: 1.1.1.1有关使用跨对证书的更多信息,请参阅 红帽认证系统 管理指南中的使用跨 证书部分。
有关发布跨对证书的更多信息,请参阅 Red Hat Certificate System Administration Guide 中的 发布跨 证书部分。
15.1.3. 在文件系统中直接添加配置集输入
CA 配置集/ca 目录中的证书配置文件包含该特定证书配置文件的输入信息。输入是终端页面注册表单中的字段。有一个参数 input.list,它列出了该配置集中包含的输入。其他参数定义输入;它们通过格式输入来标识 。ID 为。例如,这会在配置集中添加通用输入:
有关哪些输入或表单字段可用的更多信息,请参阅 Red Hat Certificate System Administration Guide 中的 Input Reference 部分。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}