红帽全球峰会9.2. 配置发布到文件
配置发布的一般流程涉及设置发布者,以将证书或 CRL 发布到特定位置。根据要使用的位置数量,可以有一个发布者或多个发布者。位置可以通过证书和 CRL 或更精细的定义(如证书类型)分割。规则决定要发布的类型以及与发布者关联的位置。
发布到文件,只需将 CRL 或证书发布到给定主机上的文本文件。
必须为每个发布位置创建和配置发布者;发布者不会自动创建发布者。要将所有文件发布到单个位置,请创建一个发布者。要发布到不同的位置,请为每个位置创建一个发布程序。位置可以包含对象类型,如用户证书或对象类型的子集,如 West Coast 用户证书。
创建用于发布到文件的发布者:
- 登录证书管理器控制台。
pkiconsole https://server.example.com:8443/ca
- 在 Configuration 选项卡中,从左侧的导航树中选择 Certificate Manager。选择 Publishing,然后选择 Publishs。Tailoring s Management 选项卡(列出配置的 publisher 实例)在右侧打开。
- 单击 以打开 Select \":\" Plug-in Implementation 窗口,该窗口列出了注册的发布者模块。
- 选择 FileBasedPublisher 模块,然后打开编辑器窗口。这是可让证书管理器向文件发布证书和 CRL 的模块。
- 配置发布证书的信息:
- 发布者 ID,它是一个没有空格的字母字符串,如 PublishCertsToFile
- 证书管理器应发布文件的目录的路径。该路径可以是绝对路径,也可以相对于证书系统实例目录。例如:
/export/CS/certificates。 - 要发布的文件类型,选中 DER 编码文件的复选框、base-64 编码文件或两者。
- 对于 CRL,时间戳的格式。发布的证书在其文件名中包含序列号,而 CRL 使用时间戳。
- 对于 CRL,是否在文件中生成链接以进入最新的 CRL。如果启用,该链接假定要与扩展一起使用的 CRL 问题点的名称将在 crlLinkExt 字段中提供。
- 对于 CRL,是否压缩(zip) CRL 和要使用的压缩级别。
配置发布程序后,为发布的证书和 CRL 配置规则,如 第 9.5 节 “创建规则” 所述。
注意
pkiconsole 已被弃用。
