9.3. CMC 身份验证插件
CMC 注册程序可让注册的客户端使用 CMC 身份验证插件进行身份验证,该插件由证书请求在代理证书或用户证书中预签名,具体取决于插件。当收到使用有效证书签名的 CMC 请求时,证书管理器会自动发布证书。
CMC 身份验证插件还为客户端提供 CMC 撤销程序。CMC 撤销程序可让客户端具有由代理证书签名的证书请求,或者验证拥有证书的用户,然后将此类请求发送到证书管理器。当收到使用有效证书签名的 CMC 撤销请求时,证书管理器会自动撤销证书。
证书系统提供以下 CMC 身份验证插件:
CMCAuth- 当 CA 代理为 CMC 请求签名时,请使用此插件。要使用
CMCAuth插件,请在注册配置集中设置以下内容:auth.instance_id=CMCAuth
默认情况下,以下注册配置集使用CMCAuth插件:- 对于系统证书:
caCMCauditSigningCertcaCMCcaCertcaCMCECserverCertcaCMCECsubsystemCertcaCMCECUserCertcaCMCkraStorageCertcaCMCkraTransportCertcaCMCocspCertcaCMCserverCertcaCMCsubsystemCert
- 对于用户证书:
caCMCUserCertcaECFullCMCUserCertcaFullCMCUserCert
CMCUserSignedAuth- 当用户提交签名或基于 SharedSecret 的 CMC 请求时,请使用此插件。要使用
CMCUserSignedAuth插件,请在注册配置集中设置以下内容:auth.instance_id=CMCUserSignedAuth
用户签名的 CMC 请求必须由用户的证书签名,该证书包含与请求的证书相同的subjectDN属性。如果用户已获取了一个签名证书,则您只能使用用户签名的 CMC 请求,以证明其用于其他证书的身份。基于 SharedSecret 的 CMC 请求表示请求由请求本身的私钥签名。在这种情况下,CMC 请求必须使用 Shared Secret 机制进行身份验证。基于 SharedSecret 的 CMC 请求通常是用来获取用户的第一个签名证书,稍后用于获取其他证书。详情请查看 第 9.4 节 “CMC SharedSecret 身份验证”。默认情况下,以下注册配置集使用CMCUserSignedAuth插件:caFullCMCUserSignedCertcaECFullCMCUserSignedCertcaFullCMCSharedTokenCertcaECFullCMCSharedTokenCert
