11.5. 管理智能卡 CA 配置集
本节中的功能没有在评估中测试。本节仅供参考。
TPS 不会生成或批准证书请求;它会将任何通过企业安全客户端批准的请求发送到配置的 CA 以签发证书。这意味着 CA 实际上包含用于令牌和智能卡的配置集。可以使用的配置集可根据卡类型自动分配。
配置文件位于 /var/lib/instance_name/ca/profiles/ca/
目录中,以及其他 CA 配置集。默认配置集列在 表 11.2 “默认令牌证书配置文件” 中。
配置集名称 | 配置文件 | 描述 |
---|---|---|
常规注册配置集 | ||
令牌设备密钥注册 | caTokenDeviceKeyEnrollment.cfg | 用于注册用于设备或服务器的令牌。 |
令牌用户加密证书注册 | caTokenUserEncryptionKeyEnrollment.cfg | 用于为用户在令牌上注册加密密钥。 |
令牌用户签名证书注册 | caTokenUserSigningKeyEnrollment.cfg | 为用户在令牌上注册签名证书。 |
令牌用户 MS 登录证书注册 | caTokenMSLoginEnrollment.cfg | 用于注册用于 Windows 域或 PC 的单点登录的用户证书。 |
临时令牌配置集 | ||
临时设备证书注册 | caTempTokenDeviceKeyEnrollment.cfg | 在临时令牌中为设备注册证书。 |
临时令牌用户加密证书注册 | caTempTokenUserEncryptionKeyEnrollment.cfg | 用于在用户的临时令牌中注册加密密钥。 |
临时令牌用户签名证书注册 | caTempTokenUserSigningKeyEnrollment.cfg | 用于在用户的临时令牌中注册签名证书。 |
续订配置集 | ||
令牌用户加密证书注册(续订) | caTokenUserEncryptionKeyRenewal.cfg | 如果允许续订,在令牌上续订加密密钥。 |
令牌用户签名证书注册(续订) | caTokenUserSigningKeyRenewal.cfg | 如果允许续订,在令牌上续订签名证书。 |
续订配置文件只能与发布原始证书的配置集一起使用。有两个很有用的设置:
- 务必要更改原始注册配置文件名称。
- Renew Grace Period 约束应该在原始注册配置集中设置。这定义了在允许用户续订证书时证书过期日期前后的时间长度。默认配置集中只有几个示例,它们主要不会被默认启用。
11.5.1. 编辑 tps 的注册配置文件 复制链接链接已复制到粘贴板!
管理员可以自定义与 TPS 搭配使用的默认智能卡注册配置文件。例如,可以编辑配置文件,在 Subject Alternative Name 扩展中包含用户的电子邮件地址。用户的电子邮件地址从身份验证目录检索。要为 LDAP 访问配置 CA,请使用适当的目录信息更改配置文件文件中的以下参数:
这些 CA 配置集默认会禁用 LDAP 查找。ldapStringAttributes
参数告知 CA 从公司目录中检索哪些 LDAP 属性。例如,如果目录包含 uid
作为 LDAP 属性名称,并且这将用于证书的主题名称,那么 uid
必须列在 ldapStringAttributes
参数中,并且 request.uid 列为 dnpattern
中的其中一个组件。
在《 管理指南(Common Standard Edition)》中的 3.2 设置 证书配置文件 中介绍了如何编辑证书配置文件。
dnpattern
参数的格式包含在 B.2.11 Subject Name Constraint anex 和 B.1.27 Subject Name Default reference in the Administration Guide (Common criteria Edition) 中。
11.5.2. 创建自定义 TPS 配置集 复制链接链接已复制到粘贴板!
证书配置文件在 CA 中以正常方式创建,但也必须在 TPS 中配置,以便它可用于令牌注册。
在 Red Hat Certificate System 的新版本中会添加新配置集。如果您将实例迁移到 Red Hat Certificate System 10,则您需要添加新配置集到迁移的实例,就像它们是自定义配置集一样。
- 为发布 CA 创建新令牌配置集。在《 管理指南(Common Standard Edition) 》中设置证书配置文件 中涵盖了 设置 配置文件。
-
将配置集复制到 CA 的配置集目录中
/var/lib/instance_name/ca/profiles/ca/
。 编辑 CA 的
CS.cfg
文件,并将新配置集引用和配置集名称添加到 CA 的配置集列表中。例如:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 编辑 TPS
CS.cfg
文件,并添加一行以指向新的 CA 注册配置集。例如:vim /etc/pki/instance_name/tps/CS.cfg
# vim /etc/pki/instance_name/tps/CS.cfg op.enroll.userKey.keyGen.signing.ca.profileId=tpsExampleEnrollProfile
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 编辑智能卡配置集后重启实例:
systemctl restart pki-tomcatd-nuxwdog@instance_name.service
# systemctl restart pki-tomcatd-nuxwdog@instance_name.service
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 如果 CA 和 TPS 位于单独的实例中,请重启这两个实例。
外部注册(externalReg
)设置的注册配置文件在用户 LDAP 条目中进行配置。
11.5.3. 使用 Windows 智能卡日志on 配置集 复制链接链接已复制到粘贴板!
TPS 使用配置文件生成用于 Windows 域或 PC 的单点登录的证书;这是 Token User MS Login Certificate Enrollment 配置集(caTokenMSLoginEnrollment.cfg
)。
但是,在配置 Windows 智能卡登录时,管理员必须 考虑一些特殊注意事项。
- 如果尚未为 TLS 配置证书,向域控制器发布证书。
- 配置每个用户的智能卡登录,而不是作为全局策略,以防止锁定域管理员。
- 启用 CRL 发布到 Active Directory 服务器,因为域控制器会在每次登录时检查 CRL。