3.6.2. 在签发者证书上更改 CA 的限制
在配置子系统后,默认设置签发的证书的限制。包括:
- 是否可以发布证书有效期超过 CA 签名证书。默认值为不允许使用。
- 用于签名证书的签名算法。
- CA 可用于发布证书的序列号范围。
从属 CA 对有效期期、证书类型以及可以发布的扩展类型具有约束。从属 CA 可能会发布违反这些限制的证书,但客户端可以进行身份验证违反这些限制的证书。在更改下级 CA 的发布规则前,请检查 CA 签名证书上设置的限制。
更改证书可保证规则:
- 打开 CertificateCertificate Systemnbsp;System Console。
pkiconsole https://server.example.com:8443/ca
- 在 Configuration 选项卡左侧导航树中,选择 Certificate Manager 项。
图 3.1. 默认非子 CA 中的 General Settings 标签页
- 默认情况下,在非克隆的 CA 中,证书管理器 菜单项中的 General Settings 选项卡包含以下选项:
- 覆盖有效嵌套要求。此复选框设置证书管理器是否可以超过 CA 签名证书的有效性期发布证书。如果没有选择这个复选框,且 CA 收到一个有效期周期的时间超过 CA 签名证书的有效性期,它会在 CA 签名证书过期日自动截断有效周期。
- 序列号范围允许部署多个 CA,并平衡每个 CA 问题的证书数量。签发者名称和序列号的组合会唯一标识证书。注意带有克隆的 CA 的序列号范围是 fluid。所有克隆的 CAs 共享定义下一个可用范围的通用配置条目。当一个 CA 在可用数量较低时,它会检查这个配置条目并声明下一个范围。条目会自动更新,以便下一个 CA 获取新范围。范围在 start
*Number
和end*Number
属性中定义,为请求和证书序列号定义单独的范围。例如:dbs.beginRequestNumber=1 dbs.beginSerialNumber=1 dbs.enableSerialManagement=true dbs.endRequestNumber=9980000 dbs.endSerialNumber=ffe0000 dbs.ldap=internaldb dbs.newSchemaEntryAdded=true dbs.replicaCloneTransferNumber=5
可以为没有克隆的 CA 启用序列号管理。 但是,除非系统被自动启用,否则将默认禁用序列号管理。无法通过控制台手动更新序列号。序列号范围是只读字段。 - 默认签名算法.指定证书管理器用于签名证书的签名算法。如果 CA 的签名密钥类型为 RSA,则选项是 SHA256withRSA 和 SHA512withRSA。证书配置集配置中指定的签名算法会覆盖此处设定的算法。
- 默认情况下,在克隆的 CA 中,Certificate Manager 菜单项中的 General Settings 选项卡包含以下选项:
- 启用序列号管理
- 启用随机证书序列号
选中这两个复选框。图 3.2. 默认情况下,克隆的 CA 中的 General Settings 选项卡
- 点。