Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

13.7. 使用访问横幅

在证书系统中,管理员可以使用自定义文本配置横幅。在以下情况下会显示横幅:

Application显示横幅时

PKI 控制台

  • 在显示控制台之前。
  • 会话已过期后。

Web 界面

  • 连接到 Web 界面时。
  • 会话过期后。

pki 命令行工具

  • 在进行实际操作之前。

您可以使用横幅向用户显示重要信息,然后才能使用证书系统。用户必须同意显示的文本才能继续。

例 13.5. 显示访问横幅时

以下示例显示了在使用 pki 工具时显示访问横幅: 

$ pki cert-show 0x1

WARNING!
Access to this service is restricted to those individuals with
specific permissions. If you are not an authorized user, disconnect
now. Any attempts to gain unauthorized access will be prosecuted to
the fullest extent of the law.

Do you want to proceed (y/N)? y
-----------------
Certificate "0x1"
-----------------
  Serial Number: 0x1
  Issuer: CN=CA Signing Certificate,OU=instance_name,O=EXAMPLE
  Subject: CN=CA Signing Certificate,OU=instance_name,O=EXAMPLE
  Status: VALID
  Not Before: Mon Feb 20 18:21:03 CET 2017
  Not After: Fri Feb 20 18:21:03 CET 2037

13.7.1. 启用访问横幅

要启用访问横幅,请创建 /etc/pki/ instance_name/banner.txt 文件,并输入要显示的文本。

重要

/etc/pki/ instance_name/banner.txt 文件中的文本必须使用 UTF-8 格式。要验证,请参阅 第 13.7.4 节 “验证横幅”

13.7.2. 禁用访问标语

要禁用访问横幅,可以删除或重命名 /etc/pki/ instance_name/banner.txt 文件。例如: 

# mv /etc/pki/ instance_name/banner.txt /etc/pki/ instance_name/banner.txt.UNUSED

13.7.3. 显示横幅

显示当前配置的横幅: 

# pki-server banner-show -i instance_name

13.7.4. 验证横幅

验证横幅不包含无效字符: 

# pki-server banner-validate -i instance_name
---------------
Banner is valid
---------------

13.7.5. CMC 的配置

这部分论述了如何通过 CMS (CMC)为证书管理配置证书系统。

13.7.6. 了解 CMC 的工作原理

在配置 CMC 前,请阅读以下文档以了解更多有关主题的信息:

13.7.7. 启用 PopLinkWittnessV2 功能

对于证书颁发机构(CA)上的高级别安全性,在 /var/lib/pki/ instance_name/ca/conf/CS.cfg 文件中启用以下选项: 

cmc.popLinkWitnessRequired=true

13.7.8. 启用 CMC Shared Secret 功能

在证书颁发机构(CA)中启用共享令牌功能:

  1. 如果主机上启用了 watchdog 服务,请临时禁用该服务。请参阅 第 13.3.2.4 节 “禁用 watchdog 服务”

  2. shrTok 属性添加到目录服务器的 schema 中: 

    # ldapmodify -D "cn=Directory Manager" -H ldaps://server.example.com:636 -W -x

dn: cn=schema
changetype: modify
add: attributetypes
attributetypes: ( 2.16.840.1.117370.3.1.123 NAME 'shrTok' DESC 'User
 Defined ObjectClass for SharedToken' SYNTAX 1.3.6.1.4.1.1466.115.121.1.40
 SINGLE-VALUE X-ORIGIN 'custom for sharedToken')

  3. 如果系统密钥存储在硬件安全模块(HSM)中,请在 /var/lib/pki/ instance_name/ca/conf/CS.cfg 文件中设置 cmc.token 参数。例如: 

    cmc.token=NHSM6000

  4. 使用以下方法之一启用共享令牌身份验证插件:

    • 使用 pkiconsole 工具启用插件:

      1. 使用 pkiconsole 实用程序登录系统。例如: 

        # pkiconsole https:host.example.com:8443/ca
        注意

        pkiconsole 已被弃用。

      2. Configuration 选项卡中,选择 Authentication
      3. 单击 Add,再选择 SharedToken
      4. 点击 Next

      5. 输入以下信息: 

        Authentication InstanceID=SharedToken
shrTokAttr=shrTok
ldap.ldapconn.host=server.example.com
ldap.ldapconn.port=636
ldap.ldapconn.secureConn=true
ldap.ldapauth.bindDN=cn=Directory Manager
password=password
ldap.ldapauth.authtype=BasicAuth
ldap.basedn=ou=People,dc=example,dc=org
      6. OK

    • 要手动启用插件,请在 /var/lib/pki/ instance_name/ca/conf/CS.cfg 文件中添加以下设置: 

      auths.impl.SharedToken.class=com.netscape.cms.authentication.SharedSecret
auths.instance.SharedToken.dnpattern=
auths.instance.SharedToken.ldap.basedn=ou=People,dc=example,dc=org
auths.instance.SharedToken.ldap.ldapauth.authtype=BasicAuth
auths.instance.SharedToken.ldap.ldapauth.bindDN=cn=Directory Manager
auths.instance.SharedToken.ldap.ldapauth.bindPWPrompt=Rule SharedToken
auths.instance.SharedToken.ldap.ldapauth.clientCertNickname=
auths.instance.SharedToken.ldap.ldapconn.host=server.example.com
auths.instance.SharedToken.ldap.ldapconn.port=636
auths.instance.SharedToken.ldap.ldapconn.secureConn=true
auths.instance.SharedToken.ldap.ldapconn.version=3
auths.instance.SharedToken.ldap.maxConns=
auths.instance.SharedToken.ldap.minConns=
auths.instance.SharedToken.ldapByteAttributes=
auths.instance.SharedToken.ldapStringAttributes=
auths.instance.SharedToken.pluginName=SharedToken
auths.instance.SharedToken.shrTokAttr=shrTok

  5. /var/lib/pki/ instance_name/ca/conf/CS.cfg 文件中的 ca.cert.issuance_protection. nickname 参数中设置 RSA issuance 保护证书的别名。例如: 

    ca.cert.issuance_protection.nickname=issuance_protection_certificate

    此步骤是:

    • 如果您在 ca.cert.subsystem.nickname 参数中使用 RSA 证书,则可选。
    • 如果您在 ca.cert.subsystem.nickname 参数中使用 ECC 证书,则需要此项。
    重要

    如果没有设置 ca.cert.issuance_protection.nickname 参数,则证书系统会自动使用 ca.cert.subsystem.nickname 中指定的子系统证书。但是,颁发保护证书必须是 RSA 证书。

  6. 重启证书系统: 

    # systemctl restart pki-tomcatd@instance_name.service

    当 CA 启动时,证书系统会提示输入 Shared Token 插件使用的 LDAP 密码。

  7. 如果在此流程开始时临时禁用了 watchdog 服务,请重新启用该服务。请参阅 第 13.3.2.1 节 “启用 watchdog 服务”

13.7.9. 为 Web 用户界面启用 CMCRevoke

Red Hat Certificate System Administration Guide 中的 执行 CMC Revocation 部分所述,可通过两种方式提交 CMC 撤销请求。

如果您使用 CMCRevoke 实用程序创建通过 Web UI 提交的撤销请求时,请将以下设置添加到 /var/lib/pki/ instance_name/ca/conf/CS.cfg 文件中: 

cmc.bypassClientAuth=true
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.