主页
产品
Red Hat Certificate System
9
管理指南
3.6.2. 在签发者证书上更改 CA 的限制

3.6.2. 在签发者证书上更改 CA 的限制

在配置子系统后，默认设置签发的证书的限制。包括：

是否可以发布证书有效期超过 CA 签名证书。默认值为不允许使用。
用于签名证书的签名算法。
CA 可用于发布证书的序列号范围。

从属 CA 对有效期期、证书类型以及可以发布的扩展类型具有约束。从属 CA 可能会发布违反这些限制的证书，但客户端可以进行身份验证违反这些限制的证书。在更改下级 CA 的发布规则前，请检查 CA 签名证书上设置的限制。

更改证书可保证规则：

打开 CertificateCertificate Systemnbsp;System Console。
```
pkiconsole https://server.example.com:8443/ca
```
在 Configuration 选项卡左侧导航树中，选择 Certificate Manager 项。
图 3.1. 默认非子 CA 中的 General Settings 标签页
默认情况下，在非克隆的 CA 中，证书管理器菜单项中的 General Settings 选项卡包含以下选项：
- 覆盖有效嵌套要求。此复选框设置证书管理器是否可以超过 CA 签名证书的有效性期发布证书。
  如果没有选择这个复选框，且 CA 收到一个有效期周期的时间超过 CA 签名证书的有效性期，它会在 CA 签名证书过期日自动截断有效周期。
- 证书串行号.这些字段显示证书管理器发布的证书的序列号范围。服务器为它发出的下一个证书以及结束序列号中的数字分配给它问题的最后证书，在 Next 序列号中为其分配序列号。
  序列号范围允许部署多个 CA，并平衡每个 CA 问题的证书数量。签发者名称和序列号的组合会唯一标识证书。
  注意
  带有克隆的 CA 的序列号范围是 fluid。所有克隆的 CAs 共享定义下一个可用范围的通用配置条目。当一个 CA 在可用数量较低时，它会检查这个配置条目并声明下一个范围。条目会自动更新，以便下一个 CA 获取新范围。
  范围在 start *Number 和 end*Number 属性中定义，为请求和证书序列号定义单独的范围。例如：
  dbs.beginRequestNumber=1 dbs.beginSerialNumber=1 dbs.enableSerialManagement=true dbs.endRequestNumber=9980000 dbs.endSerialNumber=ffe0000 dbs.ldap=internaldb dbs.newSchemaEntryAdded=true dbs.replicaCloneTransferNumber=5
  可以为没有克隆的 CA 启用序列号管理。但是，除非系统被自动启用，否则将默认禁用序列号管理。
  无法通过控制台手动更新序列号。序列号范围是只读字段。
- 默认签名算法.指定证书管理器用于签名证书的签名算法。如果 CA 的签名密钥类型为 RSA，则选项是 SHA256withRSA 和 SHA512withRSA。
  证书配置集配置中指定的签名算法会覆盖此处设定的算法。
默认情况下，在克隆的 CA 中，Certificate Manager 菜单项中的 General Settings 选项卡包含以下选项：
- 启用序列号管理
- 启用随机证书序列号
选中这两个复选框。
图 3.2. 默认情况下，克隆的 CA 中的 General Settings 选项卡
点 Save。

返回顶部

3.6.2. 在签发者证书上更改 CA 的限制

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links