Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

9.6. 配置 CMC

这部分论述了如何通过 CMS (CMC)为证书管理配置证书系统。

9.6.1. 了解 CMC 的工作原理
复制链接

在配置 CMC 前,请阅读以下文档以了解更多有关主题的信息:

9.6.2. 启用 PopLinkWitnessV2 功能
复制链接

对于证书颁发机构(CA)上的高级别安全性,请在 /var/lib/pki/instance_name/ca/conf/CS.cfg 文件中启用以下选项: 

cmc.popLinkWitnessRequired=true
Copy to Clipboard Toggle word wrap

9.6.3. 启用 CMC Shared Secret 功能
复制链接

在证书颁发机构(CA)中启用共享令牌功能:

  1. 如果主机上启用了 watchdog 服务,请临时禁用该服务。请参阅 第 9.3.2.4 节 “禁用 watchdog 服务”

  2. shrTok 属性添加到目录服务器的 schema 中: 

    # ldapmodify -D "cn=Directory Manager" -H ldaps://server.example.com:636 -W -x

dn: cn=schema
changetype: modify
add: attributetypes
attributetypes: ( 2.16.840.1.117370.3.1.123 NAME 'shrTok' DESC 'User
 Defined ObjectClass for SharedToken' SYNTAX 1.3.6.1.4.1.1466.115.121.1.40
 SINGLE-VALUE X-ORIGIN 'custom for sharedToken')
    Copy to Clipboard Toggle word wrap

  3. 如果系统密钥存储在硬件安全模块(HSM)中,请在 /var/lib/pki/instance_name/ca/conf/CS.cfg 文件中设置 cmc.token 参数。例如: 

    cmc.token=NHSM-CONN-XC
    Copy to Clipboard Toggle word wrap

  4. 通过在 /var/lib/pki/instance_name/ca/conf/CS.cfg 文件中添加以下设置来启用共享令牌身份验证插件: 

    auths.impl.SharedToken.class=com.netscape.cms.authentication.SharedSecret
auths.instance.SharedToken.dnpattern=
auths.instance.SharedToken.ldap.basedn=ou=People,dc=example,dc=org
auths.instance.SharedToken.ldap.ldapauth.authtype=BasicAuth
auths.instance.SharedToken.ldap.ldapauth.bindDN=cn=Directory Manager
auths.instance.SharedToken.ldap.ldapauth.bindPWPrompt=Rule SharedToken
auths.instance.SharedToken.ldap.ldapauth.clientCertNickname=
auths.instance.SharedToken.ldap.ldapconn.host=server.example.com
auths.instance.SharedToken.ldap.ldapconn.port=636
auths.instance.SharedToken.ldap.ldapconn.secureConn=true
auths.instance.SharedToken.ldap.ldapconn.version=3
auths.instance.SharedToken.ldap.maxConns=
auths.instance.SharedToken.ldap.minConns=
auths.instance.SharedToken.ldapByteAttributes=
auths.instance.SharedToken.ldapStringAttributes=
auths.instance.SharedToken.pluginName=SharedToken
auths.instance.SharedToken.shrTokAttr=shrTok
    Copy to Clipboard Toggle word wrap

  5. /var/lib/pki/instance_name/ca/conf/CS.cfg 文件中的 ca.cert.issuance_protection.nickname 参数中设置 RSA issuance 保护证书的别名。例如: 

    ca.cert.issuance_protection.nickname=issuance_protection_certificate
    Copy to Clipboard Toggle word wrap

    此步骤是:

    • 如果您在 ca.cert.subsystem.nickname 参数中使用 RSA 证书,则可选。
    • 如果您在 ca.cert.subsystem.nickname 参数中使用 ECC 证书,则需要此项。
    重要

    如果没有设置 ca.cert.issuance_protection.nickname 参数,则证书系统会自动使用 ca.cert.subsystem.nickname 中指定的子系统证书。但是,颁发保护证书必须是 RSA 证书。

  6. 重启证书系统: 

    # systemctl restart pki-tomcatd@instance_name.service
    Copy to Clipboard Toggle word wrap

    当 CA 启动时,证书系统会提示输入 Shared Token 插件使用的 LDAP 密码。

  7. 如果您在此流程开始时临时禁用 watchdog 服务,请重新启用该服务。请参阅 第 9.3.2.1 节 “启用 watchdog 服务”
注意

有关如何使用 CMC 共享令牌的详情,请参考管理指南中的 8.4 "CMC SharedSecret authentication " (通用标准版 )。

9.6.4. 为 Web 用户界面启用 CMCRevoke
复制链接

如 6.2.1 "Performing a CMC Revocation" in Administration Guide (Common Standard Edition) 所述,可通过两种方式提交 CMC 撤销请求。

如果您使用 CMCRevoke 实用程序创建通过 Web UI 提交的撤销请求时,请将以下设置添加到 /var/lib/pki/instance_name/ca/conf/CS.cfg 文件中: 

cmc.bypassClientAuth=true
Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat