红帽全球峰会7.4. 配置发布到 LDAP 目录
配置发布的一般过程涉及设置发布程序来发布证书或 CRL 到特定位置。根据要使用的位置,可以有一个发布者或多个发布程序。位置可以通过证书和 CRL 或更精细的定义来分割,如证书类型。规则通过与发布程序关联来确定要发布和发布到哪个位置。
配置 LDAP 发布的过程与其他发布过程类似,额外步骤用于配置目录:
- 配置要发布证书的目录服务器。某些属性必须添加到条目,并且必须配置绑定身份和身份验证方法。
- 为发布的每种对象类型配置发布者:CA 证书、跨对证书、CRL 和用户证书。publisher 声明用于存储对象的属性。默认设置的属性是用于存储每种对象类型的 X.500 标准属性。此属性可以在发布程序中更改,但通常不需要更改 LDAP 发布程序。
设置映射程序以启用从证书的主题名称派生条目的 DN。这通常不需要为 CA 证书、CRL 和用户证书设置。为证书类型设置多个映射程序。例如,这对来自位于目录树不同部分的公司划分的两组用户发布证书非常有用。为每个组创建一个映射程序,以指定树的不同分支。
有关设置映射程序的详情,请参考 第 7.4.3 节 “创建映射程序”。
- 创建规则以将发布程序连接到映射程序,如 第 7.5 节 “创建规则” 所述。
- 启用发布,如 第 7.6 节 “启用发布” 所述。
使用 CA→LDAP 的方式发布 CRL,然后 OCSP swigLDAP 是 CRL 发布的通用方法。如需示例设置,请参阅 规划、安装和部署指南(通用标准版) 中的 7.4.7 "Configuration for CRL 发布"。
7.4.1. 配置 LDAP 目录
在发布证书和 CRL 之前,必须配置 Directory 服务器才能使用发布系统。这意味着用户条目必须具有允许它们接收证书信息的属性,并且必须创建条目来代表 CRL。
设置 CA 的条目。要使证书管理器发布其 CA 证书和 CRL,目录必须包含 CA 的条目。
TIP配置 LDAP 发布后,证书管理器会自动创建或转换 CA 的条目。这个选项在 CA 和 CRL mapper 实例中设置,并默认启用。如果该目录限制了证书管理器在目录中创建条目,请在这些映射器实例中关闭此选项,并在目录中手动为 CA 添加条目。
将 CA 条目添加到目录中时,根据 CA 的 DN 选择条目类型:
-
如果 CA 的 DN 以
cn组件开头,请为 CA 创建一个新的person条目。选择不同类型的条目可能无法指定cn组件。 如果 CA 的 DN 以
ou组件开头,请为 CA 创建一个新的organizationalunit条目。该条目不必位于
pkiCA或certificationAuthority对象类中。证书管理器将通过发布 CA 的签名证书来自动将此条目转换为pkiCA或certificationAuthority对象类。注意pkiCA对象类在 RFC 4523 中定义,而认证授权对象类在(obsolete) RFC 2256 中定义。对象类可以接受,具体取决于 Directory 服务器使用的 schema 定义。在某些情况下,两个对象类都可用于同一 CA 条目。
有关创建目录条目的更多信息,请参阅 Red Hat Directory Server 文档。
-
如果 CA 的 DN 以
向 CA 和 user 目录条目添加正确的模式元素。
要使证书管理器向目录发布证书和 CRL,必须使用特定的属性和对象类进行配置。
对象类型 模式 原因 最终用户证书
userCertificate;binary (attribute)
这是证书管理器发布证书的属性。
这是一个多值属性,每个值都是 DER 编码的二进制 X.509 证书。名为
inetOrgPerson的 LDAP 对象类允许此属性。strongAuthenticationUser对象类允许此属性,并可与任何其他对象类结合使用,以允许将证书发布到与其他对象类的目录条目。证书管理器不会自动将此对象类添加到相应目录服务器的 schema 表中。如果它找到的目录对象不允许
userCertificate;binary属性,添加或删除证书会失败。CA 证书
caCertificate;binary (attribute)
这是证书管理器发布证书的属性。
证书管理器在服务器启动时将自己的 CA 证书发布到自己的 LDAP 目录条目。该条目对应于 证书管理器的签发者名称。
这是
pkiCA或certificationAuthority对象类的必要属性。如果证书管理器可以找到 CA 的目录条目,则证书管理器将此对象类添加到 CA 的目录条目中。CRL
certificateRevocationList;binary (attribute)
这是证书管理器发布 CRL 的属性。
证书管理器将 CRL 发布到自己的 LDAP 目录条目。该条目对应于 证书管理器的签发者名称。
这是
pkiCA或certificationAuthority对象类的属性。属性的值是 DER 编码的二进制 X.509 CRL。CA 的条目必须包含pkiCA或certificationAuthority对象类,用于 CRL 才能发布到该条目。Delta CRL
deltaRevocationList;binary (attribute)
这是证书管理器发布 delta CRL 的属性。证书管理器将 delta CRL 发布到自己的 LDAP 目录条目,与完整的 CRL 分开。delta CRL 条目对应于证书管理器的签发者名称。
此属性属于
deltaCRL或certificationAuthority-V2对象类。属性的值是 DER 编码的二进制 X.509 delta CRL。为证书管理器设置绑定 DN,用于访问目录服务器。
证书管理器用户必须具有目录的读写权限,才能将证书和 CRL 发布到目录,以便证书管理器可以使用与证书相关的信息修改用户条目,使用 CA 的证书和 CRL 相关信息修改 CA 条目。
绑定 DN 条目可以是以下之一:
- 具有写入访问权限的现有 DN,如目录管理器。
被授予写入访问权限的新用户。该条目可由证书管理器的 DN 识别,如
cn=testCA, ou=Research Dept, o=Example Corporation, st=California, c=US。注意仔细考虑向此用户授予哪些特权。通过为帐户创建 ACL,可以限制该用户可写入该目录的内容。有关授予证书管理器条目写入访问权限的说明,请参阅目录服务器文档。
设置目录验证方法,以用于证书管理器如何向目录服务器进行身份验证。有三个选项:基本身份验证(简单用户名和密码);SSL (无需客户端身份验证)(简单用户名和密码);以及 SSL (基于客户端身份验证)。
有关设置这些与服务器通信的步骤,请参阅 Red Hat Directory Server 文档。
7.4.2. 配置 LDAP publishers
证书管理器创建、配置和启用一组与 LDAP 发布关联的发布程序。默认发布者(用于 CA 证书、用户证书、CRL 和跨对证书)已符合 X.500 标准属性来存储证书和 CRL,不需要更改。
| publisher | 描述 |
|---|---|
| LdapCaCertPublisher | 将 CA 证书发布到 LDAP 目录。 |
| LdapCrlPublisher | 将 CRL 发布到 LDAP 目录。 |
| LdapDeltaCrlPublisher | 将 delta CRL 发布到 LDAP 目录。 |
| LdapUserCertPublisher | 将所有类型的端点证书发布到 LDAP 目录。 |
| LdapCrossCertPairPublisher | 将自签名证书发布到 LDAP 目录。 |
7.4.3. 创建映射程序
Mappers 仅用于 LDAP 发布。Mappers 定义证书的主题名称和发布证书的目录条目的 DN 之间的关系。证书管理器需要从证书或证书请求获取条目的 DN,以便它可以决定要使用哪个条目。映射器定义用户条目的 DN 和证书的主题名称或其他输入信息之间的关系,以便可以在目录中确定和找到条目的准确 DN。
配置后,证书管理器会自动创建一组定义最常见的关系的映射程序。默认映射程序列在 表 7.2 “默认映射程序” 中。
| mapper | 描述 |
|---|---|
| LdapUserCertMap | 在 目录中查找用户条目的正确属性,以发布用户证书。 |
| LdapCrlMap | 在目录中查找 CA 条目的正确属性,以发布 CRL。 |
| LdapCaCertMap | 在 目录中查找 CA 条目的正确属性,以发布 CA 证书。 |
要使用默认映射程序,请通过指定 DN 模式并在目录中创建 CA 条目来配置每个宏。要使用其他映射程序,请创建并配置映射器的实例。如需更多信息,请参阅 第 C.2 节 “映射器插件模块”。
登录证书管理器控制台。
# pkiconsole -d nssdb -n 'optional client cert nickname' https://server.example.com:8443/ca注意pkiconsole已被弃用,并将在以后的主发行版本中被新的基于浏览器的 UI 替代。虽然pkiconsole在发布替代 UI 之前继续可用,但我们鼓励在此鼓励使用命令行与pkiconsole等效,因为 pki CLI 将继续支持并在将来有新的基于浏览器的 UI 时受到改进。在 Configuration 选项卡中,从左侧的导航树中选择 Certificate Manager。选择 发布,然后选择 映射程序。
Mappers Management 选项卡(列出配置的映射程序)会在右侧打开。
要创建新映射器实例,请单击 。此时会打开 Select Mapper Plugin Implementation 窗口,它列出了注册的映射器模块。选择一个模块,并编辑它。有关这些模块的详情,请参考 第 C.2 节 “映射器插件模块”。
编辑映射程序实例,。
有关每个映射程序的详情,请查看 第 C.2 节 “映射器插件模块”。
7.4.4. 完成配置:规则并启用
为 LDAP 发布配置映射程序后,为发布的证书和 CRL 配置规则,如 第 7.5 节 “创建规则” 所述。
配置完成后,启用发布,如 第 7.6 节 “启用发布” 所述。
