10.4. 创建规则

规则决定了在哪些位置发布哪些证书对象。规则独立工作，而不是在 tandem 中工作。要发布的证书或 CRL 会根据每个规则进行匹配。激活它匹配的规则。这样，可以将同一证书或 CRL 发布到文件、在线证书状态管理器，并通过匹配基于文件的规则、OCSP 规则和匹配基于目录的规则来发送到 LDAP 目录。

可以为每个对象类型设置规则：CA 证书、CRL、用户证书和跨对证书。对于不同类型的证书或不同类型的 CRL，规则可以更加详细。

规则首先根据与对象的规则中设置的 type 和 predicate 匹配。发布匹配的对象由与规则关联的发布者和映射程序决定。

为证书管理器发布的每种证书创建规则。

通过执行以下操作来修改发布规则：

登录证书管理器控制台。
```
pkiconsole https://server.example.com:8443/ca
```
```
pkiconsole https://server.example.com:8443/ca
```
Copy to Clipboard Toggle word wrap
注意
pkiconsole 已被弃用。
在 Configuration 选项卡中，从左侧的导航树中选择 Certificate Manager。选择发布，然后选择 Rules。
Rules Management 选项卡列出配置的规则，可在右侧打开。

View larger image
要编辑现有规则，请从列表中选择该规则，然后单击 Edit。这将打开 Rule Editor 窗口。

View larger image
若要创建规则，可单击 Add。这会打开 Select Rule Plug-in Implementation 窗口。

View larger image

选择 Rule 模块。这是唯一的默认模块。如果注册了任何自定义模块，它们也可用。
编辑规则。

View larger image
- 键入。这是规则适用的证书类型。对于 CA 签名证书，值为 cacert。对于跨签名的证书，值为 xcert。对于所有其他证书，值为 certs。对于 CRL，指定 crl。
- 谓词.这会为规则适用的证书或 CRL 发布点设置 predicate 值。CRL 发出点、delta CRL 和证书的 predicate 值列在表 10.3 “predicate 表达式” 中。
- 启用。
- 映射器.发布到文件时不需要映射程序；仅 LDAP 发布需要它们。如果此规则与发布到 LDAP 目录的发布程序关联，请在此处选择适当的映射程序。对于所有其他形式的发布，请留空。
- 发布程序.设置要与规则关联的发布程序。

下表列出了可用于识别 CRL 发布点和 delta CRL 和证书配置文件的 predicates。

Expand

表 10.3. predicate 表达式
predicate Type	predicate
CRL 颁发点	`issuingPointId==Issuing_Point_Instance_ID && isDeltaCRL==[true\|false]` 要仅发布 master CRL，请设置 `isDeltaCRL==false`。要仅发布 delta CRL，请设置 `isDeltaCRL==true`。要发布这两者，请为 master CRL 设置一条规则，并为 delta CRL 设置另一个规则。
证书配置文件	`profileId==profile_name` 要根据用于发布它们的配置集发布证书，请将 `profileId==` 设置为配置文件名称，如 `caServerCert`。

返回顶部

10.4. 创建规则

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links