红帽全球峰会13.9. 配置证书转换
证书系统提供证书转换(CT) V1 支持的基本版本(rfc 6962)。它有从任何可信日志中发布带有嵌入式签名证书时间戳(SCT)的证书的功能,每个部署站点选择具有其根 CA 证书。您还可以将系统配置为支持多个 CT 日志。这个功能至少需要一个可信 CT 日志。
部署站点负责建立与可信 CT 日志服务器的信任关系。
要配置证书转换,请编辑位于 /var/lib/pki/instance name/ca/conf/ 文件。
CS.cfg 目录中的 CA CS.cfg
有关如何测试证书转换设置的更多信息,请参阅 Red Hat Certificate System Administration Guide 中的 Testing Certificate Transparency 部分。
13.9.1. ca.certTransparency.mode
ca.certTransparency.mode 指定三种证书转换模式之一:
- disabled :签发的证书不会执行 SCT 扩展
- 启用: 签发的证书执行 SCT 扩展
-
perProfile: 通过包含以下 policyset 的配置集注册的证书将执行 SCT 扩展:
SignedCertificateTimestampListExtDefaultImpl
默认值 被禁用。
13.9.2. ca.certTransparency.log.num
ca.certTransparency.log.num 指定配置中定义的 CT 日志总数。
并非所有定义的 CT 日志条目都被视为活跃;请参阅 第 13.9.3 节 “ca.certTransparency.log.id.*” 中的 ca.certTransparency.log.id.enable。
13.9.3. ca.certTransparency.log.id.*
ca.certTransparency.log.id ClusterClaim 指定与日志 ID 相关的信息,其中 id 是分配给 CT 日志服务器的唯一 id,以将其与其他 CT 日志区分开。
参数名称遵循每个 ca.certTransparency.log.id.,并属于 id :
- ca.certTransparency.log.id.enable 指定 id CT 日志是否已启用(true)还是禁用(false)。
- ca.certTransparency.log.id.pubKey 包含 CT 日志的公钥的 base64 编码。
- ca.certTransparency.log.id.url 包含 CT 日志 url 的 base64 编码。
- ca.certTransparency.log.id.version 指定 CT 支持的 CT 版本号(以及 CT 日志服务器),它目前仅支持版本 1。
