5.6.3.2.2. 使用共享 Secret 对证书注册进行身份验证

当用户希望获取第一个签名证书时，代理无法批准请求，如第 5.6.3.2.1 节 “使用代理证书签名 CMC 请求” 所述，您可以使用 Shared Token。使用这个令牌，用户可以获取第一个签名证书。然后，此证书可用于签署用户的其他证书。

在这种情况下，使用 Shared Secret 机制获取用户的第一个签名证书。将以下信息与第 5.6.2 节 “CMC 注册过程” 一起使用：

以用户或 CA 管理员创建共享令牌。详情请参阅 红帽证书系统规划、安装和部署指南中的 创建共享 Secret 令牌 部分。
请注意：
- 如果创建令牌，用户必须将令牌发送到 CA 管理员。
- 如果 CA 管理员创建了令牌，管理员必须向用户共享用于生成令牌的密码。使用安全的方式传输密码。
作为 CA 管理员，将 Shared Token 添加到 LDAP 中的用户条目中。详情请参阅 Red Hat 证书系统规划、安装和部署指南中的 第 9.4.2.1 节 “将 CMC 共享 Secret 添加到用于证书注册的用户条目” 和 启用 CMC Shared Secret 功能 部分。
使用传递给 CMCRequest 工具的配置文件中的以下参数：
- identification.enable
- witness.sharedSecret
- identityProofV2.enable
- identityProofV2.hashAlg
- identityProofV2.macAlg
- request.useSharedSecret
- request.privKeyId
如果 CA 需要，还要使用传递给 CMCRequest 工具的配置文件中的以下参数：
- popLinkWitnessV2.enable
- popLinkWitnessV2.keyGenAlg
- popLinkWitnessV2.macAlg

返回顶部