6.3. 令牌策略

此策略控制令牌是否允许重新注册操作。这允许重新注册令牌（使用证书）并授予新的令牌。如果设置为 NO，如果尝试重新注册，服务器将返回错误。

此策略不需要特殊配置。注册将继续执行标准注册配置文件，该配置文件可能最初注册令牌。

续订允许令牌生成的证书被续订，以放置到令牌中。如果 RENEW 设为 YES，则来自企业安全客户端(ESC)的简单注册将导致续订，而不是按上文所述重新注册。

RENEW_KEEP_OLD_ENC_CERTS 设置决定续订操作是否保留以前的加密证书版本。保留前面的证书后，用户可以访问使用旧证书加密的数据。将这个选项设置为 NO 将意味着使用旧证书加密的任何内容将不再可以被恢复。

配置：

op.enroll.userKey.renewal.encryption.ca.conn=ca1
op.enroll.userKey.renewal.encryption.ca.profileId=caTokenUserEncryptionKeyRenewal
op.enroll.userKey.renewal.encryption.certAttrId=c2
op.enroll.userKey.renewal.encryption.certId=C2
op.enroll.userKey.renewal.encryption.enable=true
op.enroll.userKey.renewal.encryption.gracePeriod.after=30
op.enroll.userKey.renewal.encryption.gracePeriod.before=30
op.enroll.userKey.renewal.encryption.gracePeriod.enable=false
op.enroll.userKey.renewal.keyType.num=2
op.enroll.userKey.renewal.keyType.value.0=signing
op.enroll.userKey.renewal.keyType.value.1=encryption
op.enroll.userKey.renewal.signing.ca.conn=ca1
op.enroll.userKey.renewal.signing.ca.profileId=caTokenUserSigningKeyRenewal
op.enroll.userKey.renewal.signing.certAttrId=c1
op.enroll.userKey.renewal.signing.certId=C1
op.enroll.userKey.renewal.signing.enable=true
op.enroll.userKey.renewal.signing.gracePeriod.after=30
op.enroll.userKey.renewal.signing.gracePeriod.before=30
op.enroll.userKey.renewal.signing.gracePeriod.enable=false

这种类型的续订配置使用一些特定于续订的添加设置来镜像基本 userKey 标准注册配置集。这个奇偶校验是必需的，因为我们开始在续订前，准确续订了最初注册到令牌的证书的数量和类型。

如果启用，此策略会导致每个注册操作提示格式操作。这是一个最后一步选项，允许在无需将其返回到管理员的情况下重置令牌。如果设置为 YES，则用户启动的每个注册操作将导致格式发生，从而将令牌重置为格式化状态。

不需要额外的配置。发生一个简单的格式时，将执行标准格式操作的同一 TPS 配置文件。

此策略决定已经注册的令牌是否可以使用 ESC 执行显式"固定重置"更改。这个值必须设置为 YES，否则尝试的操作将被拒绝，并显示服务器错误。

配置：

op.enroll.userKey.pinReset.enable=true
op.enroll.userKey.pinReset.pin.maxLen=10
op.enroll.userKey.pinReset.pin.maxRetries=127
op.enroll.userKey.pinReset.pin.minLen=4

在上例中，minLen 和 maxLen 的设置将限制放在所选密码的长度上，而 maxRetries 设置会将令牌设置为仅在锁定前允许给定重试次数。