7.6.2.3. 配置 Revocation Info Stores: LDAP Directory


虽然 OCSP Manager 默认将 CA CRL 存储在其内部数据库中,但您可以将它配置为使用发布到 LDAP 目录的 CRL。
重要
如果启用了 ldapStore 方法,则 OCSP 用户界面不会检查证书状态。
将在线证书状态管理器配置为使用 LDAP 目录:
  1. 打开 Online Certificate Status Manager 控制台。
    pkiconsole https://server.example.com:8443/ocsp
  2. Configuration 选项卡中,选择 Online Certificate Status Manager,然后选择 Revocation Info Stores
    右侧窗格显示在线证书状态管理器可以使用的两个存储库;默认情况下,它使用其内部数据库的 CRL。
  3. 要在 LDAP 目录中使用 CRLs,请单击 Set Default 以启用 ldapStore 选项。
  4. 选择 ldapStore,再单击 Edit/View
  5. 设置 ldapStore 参数。
    • numConns.OCSP 服务应检查的 LDAP 目录总数。默认情况下,它被设置为 0。设置此值可显示对应的 主机端口baseDNrefreshInSec 字段。
    • 主机.LDAP 目录的完全限定 DNS 主机名。
    • 端口。LDAP 目录的非 SSL/TLS 端口。
    • baseDN.开始搜索 CRL 的 DN。例如: O=example.com
    • refreshInSec.刷新连接的频率。默认值为 86400 秒(daily)。
    • caCertAttr.保留默认值 cACertificate;binary,因为它是.它是证书管理器发布其 CA 签名证书的属性。
    • crlAttr.保留默认值 certificateRevocationList;binary,因为它是。它是证书管理器发布 CRL 的属性。
    • notFoundAsGood.如果问题中的任何 CRL 中找不到证书,则设置 OCSP 服务会返回 GOOD 的 OCSP 响应。如果没有选择此项,则响应是 UNKNOWN,当客户端遇到时,会出现错误消息。
    • byName.OCSP Responder 仅支持基本响应类型,其中包括对 OCSP Responder 的 ID。基本响应类型中的 ResponderID 字段由 ocsp.store.defStore.byName 参数的值决定。如果 byName 参数为 true 或缺失,则 OCSP 授权签名证书主题名称将用作 OCSP 响应的 ResponderID 字段。如果 byName 参数为 false,则 OCSP 授权签名证书密钥哈希值将是 OCSP 响应的 ResponderID 字段。
    • includeNextUpdate.Online Certificate Status Manager 可以包括下一个 CRL 更新时间的时间戳。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.