D.5. 特定于在线证书状态管理器的 ACL
本节介绍为在线证书状态管理器设置的默认访问控制配置属性。OCSP 响应器的 ACL 配置还包括 第 D.2 节 “常见 ACL” 中列出的所有通用 ACL。
为每个 OCSP 接口(管理控制台和代理和终端服务页面)设置了访问控制规则,以及用于列出和下载 CRL 等常见操作。
D.5.1. certServer.ee.crl
通过终端实体页面控制对 CRL 的访问。
allow (read) user="anybody"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 检索并查看证书撤销列表。 | Allow | 任何人 |
D.5.2. certServer.ee.request.ocsp
根据客户端提交 OCSP 请求的 IP 地址控制访问。
allow (submit) ipaddress=".*"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 提交 | 提交 OCSP 请求。 | Allow | 所有 IP 地址 |
D.5.3. certServer.ocsp.ca
控制谁可以指示 OCSP 响应器。默认设置为:
allow (add) group="Online Certificate Status Manager Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 添加 | 指示 OCSP 响应响应新 CA 的 OCSP 请求。 | Allow | OCSP Manager 代理 |
D.5.4. certServer.ocsp.cas
控制在代理服务界面中列出哪些用户可以向在线证书状态管理器发布 CRL 的所有证书管理器。默认设置为:
allow (list) group="Online Certificate Status Manager Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| list | 列出所有向 OCSP 响应者发布 CRL 的证书管理器。 | Allow | 代理 |
D.5.5. certServer.ocsp.certificate
控制谁可以验证证书的状态。默认设置为:
allow (validate) group="Online Certificate Status Manager Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| validate | 验证指定证书的状态。 | Allow | OCSP 代理 |
D.5.6. certServer.ocsp.configuration
控制谁可以访问、查看或修改证书管理器 OCSP 服务的配置。默认配置是:
allow (read) group="Administrators" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | |||
|---|---|---|---|---|---|---|
| 读取 | 查看 OCSP 插件信息、OCSP 配置和 OCSP 存储配置。列出 OCSP 存储配置。 | Allow |
| |||
| 修改 | 修改 OCSP 配置、OCSP 存储配置和默认 OCSP 存储。 | Allow | 管理员 |
D.5.7. certServer.ocsp.crl
控制通过代理服务接口读取或更新 CRL 的访问。默认设置为:
allow (add) group="Online Certificate Status Manager Agents" || group="Trusted Managers"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | ||
|---|---|---|---|---|---|
| add | 向由 OCSP 响应者管理的用户添加新的 CRL。 | Allow |
|
D.5.8. certServer.ocsp.group
控制为在线证书状态管理器实例添加用户和组的内部数据库的访问。
allow (modify,read) group="Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 修改 | 创建、编辑或删除实例的用户和组条目。 | Allow | 管理员 |
| 读取 | 查看实例的用户和组条目。 | Allow | 管理员 |
D.5.9. certServer.ocsp.info
控制谁可以读取 OCSP 响应器的信息。
allow (read) group="Online Certificate Status Manager Agents"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 查看 OCSP 响应者信息。 | Allow | OCSP 代理 |
