9.6. 配置 CMC

这部分论述了如何通过 CMS (CMC)为证书管理配置证书系统。

9.6.1. 了解 CMC 的工作原理
复制链接

在配置 CMC 前，请阅读以下文档以了解更多有关主题的信息：

第 2.4.1.1.2.2 节 “使用 CMC 注册”
5.3 管理指南中的使用 CMC 请求和接收证书。
第 3 章： 管理指南 (Common criteria Edition) 中颁发证书（证书配置文件）的规则.

9.6.2. 启用 PopLinkWitnessV2 功能
复制链接

对于证书颁发机构(CA)上的高级别安全性，请在 /var/lib/pki/instance_name/ca/conf/CS.cfg 文件中启用以下选项：

cmc.popLinkWitnessRequired=true

9.6.3. 启用 CMC Shared Secret 功能
复制链接

在证书颁发机构(CA)中启用共享令牌功能：

如果主机上启用了 watchdog 服务，请临时禁用该服务。请参阅第 9.3.2.4 节 “禁用 watchdog 服务”。

将 shrTok 属性添加到目录服务器的 schema 中：

# ldapmodify -D "cn=Directory Manager" -H ldaps://server.example.com:636 -W -x

dn: cn=schema
changetype: modify
add: attributetypes
attributetypes: ( 2.16.840.1.117370.3.1.123 NAME 'shrTok' DESC 'User
 Defined ObjectClass for SharedToken' SYNTAX 1.3.6.1.4.1.1466.115.121.1.40
 SINGLE-VALUE X-ORIGIN 'custom for sharedToken')

如果系统密钥存储在硬件安全模块(HSM)中，请在 /var/lib/pki/instance_name/ca/conf/CS.cfg 文件中设置 cmc.token 参数。例如：
```
cmc.token=NHSM-CONN-XC
```

通过在 /var/lib/pki/instance_name/ca/conf/CS.cfg 文件中添加以下设置来启用共享令牌身份验证插件：

auths.impl.SharedToken.class=com.netscape.cms.authentication.SharedSecret
auths.instance.SharedToken.dnpattern=
auths.instance.SharedToken.ldap.basedn=ou=People,dc=example,dc=org
auths.instance.SharedToken.ldap.ldapauth.authtype=BasicAuth
auths.instance.SharedToken.ldap.ldapauth.bindDN=cn=Directory Manager
auths.instance.SharedToken.ldap.ldapauth.bindPWPrompt=Rule SharedToken
auths.instance.SharedToken.ldap.ldapauth.clientCertNickname=
auths.instance.SharedToken.ldap.ldapconn.host=server.example.com
auths.instance.SharedToken.ldap.ldapconn.port=636
auths.instance.SharedToken.ldap.ldapconn.secureConn=true
auths.instance.SharedToken.ldap.ldapconn.version=3
auths.instance.SharedToken.ldap.maxConns=
auths.instance.SharedToken.ldap.minConns=
auths.instance.SharedToken.ldapByteAttributes=
auths.instance.SharedToken.ldapStringAttributes=
auths.instance.SharedToken.pluginName=SharedToken
auths.instance.SharedToken.shrTokAttr=shrTok

在 /var/lib/pki/instance_name/ca/conf/CS.cfg 文件中的 ca.cert.issuance_protection.nickname 参数中设置 RSA issuance 保护证书的别名。例如：
```
ca.cert.issuance_protection.nickname=issuance_protection_certificate
```
此步骤是：
- 如果您在 ca.cert.subsystem.nickname 参数中使用 RSA 证书，则可选。
- 如果您在 ca.cert.subsystem.nickname 参数中使用 ECC 证书，则需要此项。
重要
如果没有设置 ca.cert.issuance_protection.nickname 参数，则证书系统会自动使用 ca.cert.subsystem.nickname 中指定的子系统证书。但是，颁发保护证书必须是 RSA 证书。
重启证书系统：
```
# systemctl restart pki-tomcatd@instance_name.service
```
当 CA 启动时，证书系统会提示输入 Shared Token 插件使用的 LDAP 密码。
如果您在此流程开始时临时禁用 watchdog 服务，请重新启用该服务。请参阅第 9.3.2.1 节 “启用 watchdog 服务”。

注意

有关如何使用 CMC 共享令牌的详情，请参考管理指南中的 8.4 "CMC SharedSecret authentication " （通用标准版 ）。

9.6.4. 为 Web 用户界面启用 CMCRevoke
复制链接

如 6.2.1 "Performing a CMC Revocation" in Administration Guide (Common Standard Edition) 所述，可通过两种方式提交 CMC 撤销请求。

如果您使用 CMCRevoke 实用程序创建通过 Web UI 提交的撤销请求时，请将以下设置添加到 /var/lib/pki/instance_name/ca/conf/CS.cfg 文件中：

cmc.bypassClientAuth=true

9.6. 配置 CMC

9.6.1. 了解 CMC 的工作原理
复制链接

9.6.2. 启用 PopLinkWitnessV2 功能
复制链接

9.6.3. 启用 CMC Shared Secret 功能
复制链接

9.6.4. 为 Web 用户界面启用 CMCRevoke
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

9.6. 配置 CMC

9.6.1. 了解 CMC 的工作原理复制链接链接已复制到粘贴板!

9.6.2. 启用 PopLinkWitnessV2 功能复制链接链接已复制到粘贴板!

9.6.3. 启用 CMC Shared Secret 功能复制链接链接已复制到粘贴板!

9.6.4. 为 Web 用户界面启用 CMCRevoke复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

9.6.1. 了解 CMC 的工作原理
复制链接

9.6.2. 启用 PopLinkWitnessV2 功能
复制链接

9.6.3. 启用 CMC Shared Secret 功能
复制链接

9.6.4. 为 Web 用户界面启用 CMCRevoke
复制链接