10.3. CMC 身份验证插件
CMC 注册允许注册客户端使用 CMC 身份验证插件进行身份验证,根据插件,证书请求是预签名的证书或用户证书。当收到使用有效证书签名的 CMC 请求时,证书管理器会自动发布证书。
CMC 身份验证插件还为客户端提供 CMC 吊销。CMC 吊销允许客户端具有由代理证书签名的证书请求,或拥有证书的可验证用户,然后将此类请求发送到证书管理器。当收到使用有效证书签名的 CMC 撤销请求时,证书管理器会自动撤销证书。
证书系统提供以下 CMC 身份验证插件:
CMCAuth- 当 CA 代理签署 CMC 请求时,请使用此插件。要使用
CMCAuth插件,请在注册配置集中设置以下内容:auth.instance_id=CMCAuth
默认情况下,以下注册配置集使用CMCAuth插件:- 对于系统证书:
caCMCauditSigningCertcaCMCcaCertcaCMCECserverCertcaCMCECsubsystemCertcaCMCECUserCertcaCMCkraStorageCertcaCMCkraTransportCertcaCMCocspCertcaCMCserverCertcaCMCsubsystemCert
- 对于用户证书:
caCMCUserCertcaECFullCMCUserCertcaFullCMCUserCert
CMCUserSignedAuth- 当用户提交签名或基于 SharedSecret 的 CMC 请求时,请使用此插件。要使用
CMCUserSignedAuth插件,请在注册配置集中设置以下内容:auth.instance_id=CMCUserSignedAuth
用户签名的 CMC 请求必须由用户的证书签名,其中包含与请求的证书相同的subjectDN属性。如果用户已经获得了一个签名证书,则只能使用用户签名的 CMC 请求,它可用于为其他证书证明用户身份。基于 SharedSecret 的 CMC 请求意味着请求由请求本身的私钥签名。在这种情况下,CMC 请求必须使用 Shared Secret 机制进行身份验证。基于 SharedSecret 的 CMC 请求通常用于获取用户的第一个签名证书,稍后用于获取其他证书。详情请查看 第 10.4 节 “CMC SharedSecret 身份验证”。默认情况下,以下注册配置集使用CMCUserSignedAuth插件:caFullCMCUserSignedCertcaECFullCMCUserSignedCertcaFullCMCSharedTokenCertcaECFullCMCSharedTokenCert
