9.4. 配置发布到 LDAP 目录
配置发布的一般流程涉及设置发布者,以将证书或 CRL 发布到特定位置。根据要使用的位置数量,可以有一个发布者或多个发布者。位置可以通过证书和 CRL 或更精细的定义(如证书类型)分割。规则决定要发布的类型以及与发布者关联的位置。
配置 LDAP 发布与其他发布过程类似,以及配置目录的额外步骤:
- 配置要发布证书的目录服务器。某些属性必须添加到条目中,而且必须配置绑定身份和身份验证方法。
- 为公布的每种对象配置发布者:CA 证书、跨对证书、CRL 和用户证书。publisher 声明用于存储对象的属性。默认设置的属性是 X.500 标准属性,用于存储每种对象类型。此属性可以在发布程序中更改,但通常不需要更改 LDAP 发布者。
- 设置映射程序,以启用条目的 DN 从证书的主题名称中派生。这通常不需要为 CA 证书、CRL 和用户证书设置。对于一种证书,可以有多个映射程序。例如,这可用于发布来自位于目录树不同部分公司不同部分的两组用户的证书。为每个组创建一个映射程序,以指定树的不同分支。有关设置映射程序的详情,请参考 第 9.4.3 节 “创建映射程序”。
- 创建规则以将发布程序连接到映射程序,如 第 9.5 节 “创建规则” 所述。
- 启用发布,如 第 9.6 节 “启用发布” 所述。
9.4.1. 配置 LDAP 目录
在发布证书和 CRL 之前,必须将目录服务器配置为使用发布系统。这意味着用户条目必须具有允许它们接收证书信息的属性,必须创建条目来代表 CRL。
- 为 CA 设置条目。要使证书管理器发布其 CA 证书和 CRL,该目录必须包含 CA 的条目。TIP配置 LDAP 发布后,证书管理器会在目录中自动创建或转换 CA 的条目。这个选项在 CA 和 CRL mapper 实例中设置,并默认启用。如果目录限制了证书管理器在目录中创建条目,请在这些映射器实例中关闭此选项,并在目录中手动为 CA 添加条目。将 CA 条目添加到目录中时,根据 CA 的 DN 选择条目类型:
- 如果 CA 的 DN 从 cn 组件开始,请为 CA 创建新的 person 条目。选择其他类型的条目可能无法指定 cn 组件。
- 如果 CA 的 DN 从 ou 组件开始,请为 CA 创建新的 organizationalunit 条目。
条目不必位于 pkiCA 或 Certification Authority 对象类中。证书管理器将通过发布其 CA 的签名证书,将此条目转换为 pkiCA 或 Certification Authority 对象类。注意pkiCA 对象类在 RFC 4523 中定义,而 certified Authority 对象类在(obsolete) RFC 2256 中定义。根据 Directory 服务器使用的模式定义,任何对象类都可以接受。在某些情况下,两个对象类都可用于相同的 CA 条目。有关创建目录条目的更多信息,请参阅 Red Hat Directory Server 文档。 - 将正确的架构元素添加到 CA 和用户条目条目中。
对象类型 模式 原因 端到端证书 userCertificate;binary (attribute) 这是证书管理器向其发布证书的属性。这是一个多值属性,每个值都是一个 DER 编码的二进制 X.509 证书。名为 inetOrgPerson 的 LDAP 对象类允许此属性。strongAuthenticationUser 对象类允许此属性,并可与其他对象类结合使用,以允许将证书发布到其他对象类的目录条目中。证书管理器不会自动将此对象类添加到对应的目录服务器的 schema 表中。如果它找到的目录对象不允许 userCertificate;binary 属性,添加或删除证书会失败。CA 证书 caCertificate;binary (attribute) 这是证书管理器向其发布证书的属性。证书管理器在服务器启动时将自己的 CA 证书发布到自己的 LDAP 目录条目。条目对应于证书的签发者名称。这是 pkiCA 或 Certification Authority 对象类的 必要属性。如果证书管理器可以找到 CA 的目录条目,则证书管理器会将此对象类添加到 CA 的目录条目中。CRL certificateRevocationList;binary (attribute) 这是证书管理器向发布 CRL 的属性。证书管理器将 CRL 发布到自己的 LDAP 目录条目。条目对应于证书的签发者名称。这是 pkiCA 或 Certification Authority 对象类的属性。属性的值是 DER 编码的二进制 X.509 CRL。CA 的条目必须已包含 CRL 的 pkiCA 或 Certification Authority 对象类,才能发布到该条目。delta CRL deltaRevocationList;binary (attribute) 这是证书管理器向发布 delta CRL 的属性。证书管理器将 delta CRL 发布到自己的 LDAP 目录条目,与完整 CRL 分开。delta CRL 条目对应于证书管理器的签发者名称。此属性属于 deltaCRL 或 certified Authority-V2 对象类。属性的值是 DER 编码的二进制 X.509 delta CRL。 - 为证书管理器设置绑定 DN,用于访问目录服务器。证书管理器用户必须具有目录的读写权限,才能向目录发布证书和 CRL,以便证书管理器可以使用与证书相关的信息以及带有 CA 证书和 CRL 相关信息的 CA 条目修改用户条目。绑定 DN 条目可以是以下之一:
- 具有写入访问权限的现有 DN,如目录管理器。
- 授予写入访问权限的新用户。条目可以被证书管理器的 DN 标识,如 cn=testCA, ou=Research Dept, o=Example 公司, st=California, c=US。注意仔细考虑为此用户授予哪些特权。此用户可以通过为帐户创建 ACL 限制到目录的内容。有关授予对证书管理器条目的写入权限的说明,请参阅目录服务器文档。
- 设置目录身份验证方法,以向目录服务器进行身份验证。有三个选项:基本身份验证(简单用户名和密码)、没有客户端身份验证的 SSL (简单用户名和密码);以及 SSL (基于证书)的 SSL。有关设置这些与服务器通信方法的说明,请参阅 Red Hat Directory Server 文档。
9.4.2. 配置 LDAP 站
证书管理器创建、配置和启用与 LDAP 发布关联的一组发布者。默认发布者(用于 CA 证书、用户证书、CRL 和跨修复证书)已符合存储证书和 CRL 的 X.500 标准属性,不需要更改。
publisher | 描述 |
---|---|
LdapCaCertPublisher | 将 CA 证书发布到 LDAP 目录。 |
LdapCrlPublisher | 将 CRL 发布到 LDAP 目录。 |
LdapDeltaCrlPublisher | 将 delta CRLs 发布到 LDAP 目录。 |
LdapUserCertPublisher | 将所有类型的最终用户证书发布到 LDAP 目录。 |
LdapCrossCertPairPublisher | 将自签名证书发布到 LDAP 目录。 |
9.4.3. 创建映射程序
映射程序仅与 LDAP 发布一起使用。映射程序定义了证书的主题名称和发布证书的目录条目的 DN 之间的关系。证书管理器需要从证书或证书请求派生条目的 DN,以便它能够决定要使用哪个条目。mapper 定义用户条目的 DN 和证书的主题名称或其他输入信息之间的关系,以便可以在目录中确定和找到条目的确切 DN。
配置后,证书管理器会自动创建一组定义最常见的关系的映射程序。默认映射程序列在 表 9.2 “默认映射程序” 中。
mapper | 描述 |
---|---|
LdapUserCertMap | 在 目录中找到用户条目的正确属性,以发布用户证书。 |
LdapCrlMap | 在 目录中找到 CA 条目的正确属性,以发布 CRL。 |
LdapCaCertMap | 在 目录中找到 CA 条目的正确属性,以发布 CA 证书。 |
要使用默认映射程序,请通过指定 DN 模式并在目录中创建 CA 条目来配置每个宏。要使用其他映射程序,请创建并配置映射器实例。如需更多信息,请参阅 第 C.2 节 “映射程序插件模块 ”。
- 登录证书管理器控制台。
pkiconsole https://server.example.com:8443/ca
- 在 Configuration 选项卡中,从左侧的导航树中选择 Certificate Manager。选择 Publishing,然后选择 Mappers。Mappers Management 标签页(列出配置的映射程序)在右侧打开。
- 若要创建新映射程序实例,请单击 Select Mapper Plugin Implementation 窗口,它列出了注册的映射程序模块。选择一个模块并编辑它。有关这些模块的完整信息,请参考 第 C.2 节 “映射程序插件模块 ”。。此时会打开
- 编辑 mapper 实例,然后单击。有关每个映射程序的详情,请查看 第 C.2 节 “映射程序插件模块 ”。
注意
pkiconsole
已被弃用。
9.4.4. 完成配置:规则并启用
为 LDAP 发布程序配置映射程序后,为发布的证书和 CRL 配置规则,如 第 9.5 节 “创建规则” 所述。
配置完成后,启用发布,如 第 9.6 节 “启用发布” 所述。