11.5. 管理智能卡 CA 配置集


注意

本节中的功能没有在评估中测试。本节仅供参考。

TPS 不会生成或批准证书请求;它会将任何通过企业安全客户端批准的请求发送到配置的 CA 以签发证书。这意味着 CA 实际上包含用于令牌和智能卡的配置集。可以使用的配置集可根据卡类型自动分配。

配置文件位于 /var/lib/instance_name/ca/profiles/ca/ 目录中,以及其他 CA 配置集。默认配置集列在 表 11.2 “默认令牌证书配置文件” 中。

Expand
表 11.2. 默认令牌证书配置文件
配置集名称配置文件描述

常规注册配置集

令牌设备密钥注册

caTokenDeviceKeyEnrollment.cfg

用于注册用于设备或服务器的令牌。

令牌用户加密证书注册

caTokenUserEncryptionKeyEnrollment.cfg

用于为用户在令牌上注册加密密钥。

令牌用户签名证书注册

caTokenUserSigningKeyEnrollment.cfg

为用户在令牌上注册签名证书。

令牌用户 MS 登录证书注册

caTokenMSLoginEnrollment.cfg

用于注册用于 Windows 域或 PC 的单点登录的用户证书。

临时令牌配置集

临时设备证书注册

caTempTokenDeviceKeyEnrollment.cfg

在临时令牌中为设备注册证书。

临时令牌用户加密证书注册

caTempTokenUserEncryptionKeyEnrollment.cfg

用于在用户的临时令牌中注册加密密钥。

临时令牌用户签名证书注册

caTempTokenUserSigningKeyEnrollment.cfg

用于在用户的临时令牌中注册签名证书。

续订配置集

令牌用户加密证书注册(续订)

caTokenUserEncryptionKeyRenewal.cfg

如果允许续订,在令牌上续订加密密钥。

令牌用户签名证书注册(续订)

caTokenUserSigningKeyRenewal.cfg

如果允许续订,在令牌上续订签名证书。

注意

续订配置文件只能与发布原始证书的配置集一起使用。有两个很有用的设置:

  • 务必要更改原始注册配置文件名称。
  • Renew Grace Period 约束应该在原始注册配置集中设置。这定义了在允许用户续订证书时证书过期日期前后的时间长度。默认配置集中只有几个示例,它们主要不会被默认启用。

11.5.1. 编辑 tps 的注册配置文件

管理员可以自定义与 TPS 搭配使用的默认智能卡注册配置文件。例如,可以编辑配置文件,在 Subject Alternative Name 扩展中包含用户的电子邮件地址。用户的电子邮件地址从身份验证目录检索。要为 LDAP 访问配置 CA,请使用适当的目录信息更改配置文件文件中的以下参数:

policyset.set1.p1.default.params.dnpattern=UID=$request.uid$, O=Token Key User
policyset.set1.p1.default.params.ldap.enable=true
policyset.set1.p1.default.params.ldap.basedn=ou=people,dc=host,dc=example,dc=com
policyset.set1.p1.default.params.ldapStringAttributes=uid,mail
policyset.set1.p1.default.params.ldap.ldapconn.host=localhost.example.com
policyset.set1.p1.default.params.ldap.ldapconn.port=389
Copy to Clipboard Toggle word wrap

这些 CA 配置集默认会禁用 LDAP 查找。ldapStringAttributes 参数告知 CA 从公司目录中检索哪些 LDAP 属性。例如,如果目录包含 uid 作为 LDAP 属性名称,并且这将用于证书的主题名称,那么 uid 必须列在 ldapStringAttributes 参数中,并且 request.uid 列为 dnpattern 中的其中一个组件。

在《 管理指南(Common Standard Edition)》中的 3.2 设置 证书配置文件 中介绍了如何编辑证书配置文件

dnpattern 参数的格式包含在 B.2.11 Subject Name Constraint anex 和 B.1.27 Subject Name Default reference in the Administration Guide (Common criteria Edition) 中。

11.5.2. 创建自定义 TPS 配置集

证书配置文件在 CA 中以正常方式创建,但也必须在 TPS 中配置,以便它可用于令牌注册。

TIP

在 Red Hat Certificate System 的新版本中会添加新配置集。如果您将实例迁移到 Red Hat Certificate System 10,则您需要添加新配置集到迁移的实例,就像它们是自定义配置集一样。

  1. 为发布 CA 创建新令牌配置集。在《 管理指南(Common Standard Edition) 》中设置证书配置文件 中涵盖了 设置 配置文件。
  2. 将配置集复制到 CA 的配置集目录中 /var/lib/instance_name/ca/profiles/ca/
  3. 编辑 CA 的 CS.cfg 文件,并将新配置集引用和配置集名称添加到 CA 的配置集列表中。例如:

    # vim etc/pki/instance_name/ca/CS.cfg
    
    				profile.list=caUserCert,...,caManualRenewal,tpsExampleEnrollProfile
    				...
    				profile.caTokenMSLoginEnrollment.class_id=caUserCertEnrollImpl
    				profile.caTokenMSLoginEnrollment.config=/var/lib/pki/instance_name/profiles/ca/tpsExampleEnrollProfile.cfg
    Copy to Clipboard Toggle word wrap
  4. 编辑 TPS CS.cfg 文件,并添加一行以指向新的 CA 注册配置集。例如:

    # vim /etc/pki/instance_name/tps/CS.cfg
    
    				op.enroll.userKey.keyGen.signing.ca.profileId=tpsExampleEnrollProfile
    Copy to Clipboard Toggle word wrap
  5. 编辑智能卡配置集后重启实例:

    # systemctl restart pki-tomcatd-nuxwdog@instance_name.service
    Copy to Clipboard Toggle word wrap

    如果 CA 和 TPS 位于单独的实例中,请重启这两个实例。

注意

外部注册(externalReg)设置的注册配置文件在用户 LDAP 条目中进行配置。

11.5.3. 使用 Windows 智能卡日志on 配置集

TPS 使用配置文件生成用于 Windows 域或 PC 的单点登录的证书;这是 Token User MS Login Certificate Enrollment 配置集(caTokenMSLoginEnrollment.cfg)。

但是,在配置 Windows 智能卡登录时,管理员必须 考虑一些特殊注意事项。

  • 如果尚未为 TLS 配置证书,向域控制器发布证书。
  • 配置每个用户的智能卡登录,而不是作为全局策略,以防止锁定域管理员。
  • 启用 CRL 发布到 Active Directory 服务器,因为域控制器会在每次登录时检查 CRL。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat