9.6. 启用发布
发布只能为文件、只有 LDAP 或两者都启用。在设置发布程序、规则和映射程序后,应启用发布程序。启用后,服务器会尝试开始发布。如果在启用前没有正确配置发布,发布可能会带来不必要的行为,或者可能会失败。
注意
配置 CRL。在发布 CRL 之前,必须配置 CRL。请参阅 第 7 章 吊销证书并颁发 CRL。
- 登录证书管理器控制台。
pkiconsole https://server.example.com:8443/ca
- 在 Configuration 选项卡中,从左侧的导航树中选择 Certificate Manager。选择 Publishing。右侧窗格显示发布到符合 LDAP 的目录的详细信息。
- 若要仅启用发布到文件,请选择 Enable Publishing。
- 要启用 LDAP 发布,请选择 Enable Publishing 和 Enable Default LDAP Connection。在 Destination 部分中,设置 Directory 服务器实例的信息。
- 主机名.如果为 SSL 客户端经过身份验证的通信配置了目录服务器,该名称必须与 Directory 服务器 SSL 服务器证书的主题 DN 中的 cn 组件匹配。主机名可以是完全限定域名或 IPv4 或 IPv6 地址。
- 端口号.
- 目录管理器 DN。这是具有目录管理器权限的目录条目的可分辨名称(DN)。证书管理器使用此 DN 访问目录树并发布到目录。为此 DN 设置的访问控制决定了证书管理器是否可以执行发布。仅针对发布系统实际需要写入的属性,可以创建另一个具有有限读写权限的 DN。
- 密码。这是 CA 用于绑定到发布证书或 CRL 的 LDAP 目录的密码。证书管理器将此密码保存到其
password.conf
文件中。例如:CA LDAP Publishing:password
注意标识发布密码(CA LDAP Publishing)的参数名称在 ca.publish.ldappublish.ldap.ldapauth.bindPWPrompt 参数中的证书管理器CS.cfg
文件中设置,可以对其进行编辑。 - 客户端证书.这会将证书管理器用于 SSL 客户端身份验证的证书设置为发布目录。默认情况下,证书管理器使用其 SSL 服务器证书。
- LDAP 版本.选择 LDAP 版本 3。
- 身份验证.证书管理器向目录服务器进行身份验证的方式。选择是 基本身份验证 和 SSL 客户端身份验证。如果将目录服务器配置为基本身份验证或在没有客户端身份验证的情况下 SSL 通信,请选择 基本身份验证 并为 Directory Manager DN 和密码指定值。如果为与客户端身份验证的 SSL 通信配置了目录服务器,请选择 SSL 客户端身份验证 和 Use SSL 通信 选项,并且识别证书管理器必须用于 SSL 客户端对目录进行身份验证的证书。
服务器尝试连接到目录服务器。如果信息不正确,服务器会显示错误消息。
注意
pkiconsole
已被弃用。