8.6. 启用发布
只能针对文件(仅限 LDAP 或两者)启用发布。在设置发布者、规则和映射程序后,应启用发布程序。启用后,服务器会尝试开始发布。如果在启用前,如果发布没有被正确配置,发布可能会带来不所需行为,否则可能会失败。
注意
配置 CRL。必须配置 CRL,然后才能发布。请参阅 第 7 章 撤销证书和发布 CRL。
- 登录到证书管理器控制台。
pkiconsole https://server.example.com:8443/ca
- 在 Configuration 选项卡中,从左侧的导航树中选择 Certificate Manager。选择 发布。右窗格显示了发布到与 LDAP 兼容的目录的详细信息。
- 要仅启用发布到文件,请选择 Enable Publishing。
- 要启用 LDAP 发布,请选择 Enable Publishing and Enable Default LDAP Connection。
在 Destination 部分中,设置 Directory Server 实例的信息。- 主机名.如果为 SSL 客户端通过身份验证的通信配置了 Directory 服务器,该名称必须与目录服务器的 SSL 服务器证书主体 DN 中的 cn 组件匹配。主机名可以是完全限定域名或 IPv4 或 IPv6 地址。
- 端口号.
- 目录管理器 DN.这是具有 Directory Manager 特权的目录条目的可分辨名称(DN)。证书管理器使用此 DN 访问目录树,并发布到 目录。为此 DN 设置的访问控制决定了证书管理器是否可以执行发布。可以创建另一个具有有限读写权限的 DN,只针对发布系统实际需要写入的属性。
- 密码。这是 CA 用来绑定到发布证书或 CRL 的 LDAP 目录的密码。证书管理器将此密码保存在其
password.conf文件中。例如:CA LDAP Publishing:password
注意标识发布密码(CA LDAP Publishing)的参数名称在 ca.publish.ldappublish.ldap.ldapauth.bindPWPrompt 参数中的 Certificate Manager 的CS.cfg文件中设置,并可编辑。 - 客户端证书。这将设置证书管理器用于在发布目录中进行 SSL 客户端身份验证的证书。默认情况下,证书管理器使用其 SSL 服务器证书。
- LDAP 版本.选择 LDAP 版本 3.
- 身份验证.证书管理器向 Directory 服务器进行身份验证的方式。选择是 基本身份验证 和 SSL 客户端身份验证。如果目录服务器是为基本身份验证或没有客户端身份验证的 SSL 通信而配置的,请选择 基本身份验证,并指定 Directory 管理器 DN 和密码的值。如果目录服务器被配置为与客户端身份验证进行 SSL 通信,请选择 SSL 客户端身份验证 和使用 SSL 通信 选项,并识别证书管理器必须用于 SSL 客户端身份验证的证书,以便对该目录进行 SSL 客户端身份验证。
服务器尝试连接到 Directory 服务器。如果信息不正确,服务器会显示错误消息。
