3.6. 管理 CA-Related 配置集
必须使用证书配置集和扩展来设置下级 CA 如何发出证书的规则。这里有两个部分:
- 管理 CA 签名证书
- 定义可识别规则
3.6.1. 在 CA 证书中设置限制
创建从属 CA 时,根 CA 可以对从属 CA 施加限制或限制。例如,根 CA 可以通过设置 CA 签名证书的 basicLenConstraint 字段来设置有效认证路径(允许的下级 CA 的数量)的最大深度信息。
证书链通常由实体证书、零个或者多个中间 CA 证书以及 root CA 证书组成。root CA 证书由外部可信 CA 自签名或签名。签发后,root CA 证书将作为可信 CA 加载到证书数据库中。
在发出 TLS 握手、发送 S/MIME 消息或发送签名对象时,证书交换会发生。作为握手的一部分,发送发送者应发送主题证书以及将主题证书链接到可信根所需的任何中间 CA 证书。要使证书链正常工作,证书应具有以下属性:
- CA 证书必须具有 Basic Constraints 扩展。
- CA 证书必须具有在 Key Usage 扩展中设置的 keyCertSign bit。
有关证书和扩展的更多信息,请参阅 互联网 X.509 公共密钥基础架构 - 证书和证书撤销列表(CRL)Profile( RFC 5 280 )。
这些扩展可以通过证书配置集注册页面配置。默认情况下,CA 包含所需的和合理的配置设置,但可以自定义这些设置。
注意
这个步骤描述了编辑 CA 证书配置集,该 CA 证书将 CA 证书发布到其下级 CA。
当配置 CA 实例是
/var/lib/pki/instance_name/ca/conf/caCert.profile 时使用的配置集。此配置集无法在 pkiconsole 中编辑(因为它仅在配置实例前可用)。在使用文本编辑器配置 CA 之前,可以在模板文件中编辑此配置集的策略。
修改 CA 使用的 CA 签名证书配置集中的默认设置:
- 如果当前启用配置集,则必须在编辑配置集前禁用它。打开 agent services 页面,从左侧导航菜单中选择 Manage Certificate Profiles,选择配置集,再单击 Disable profile。
- 打开 CA 控制台。
pkiconsole https://server.example.com:8443/ca
- 在 Configuration 选项卡的左侧导航树中,选择 Certificate Manager,然后选择 Certificate Profiles。
- 从右窗口中选择 caCACert 或适当的 CA 签名证书配置集,然后点击 Edit/View。
- 在 证书 配置文件规则编辑器的 Policies 选项卡中,选择并编辑 Key Usage 或 Extended Key Usage Extension Default(如果存在或将其添加到配置文件中)。
- 选择 Key Usage 或 Extended Key Usage Extension 约束(根据情况考虑默认设置)。
- 设置 CA 证书的默认值。如需更多信息,请参阅 第 B.1.13 节 “主要使用扩展默认值” 和 第 B.1.8 节 “扩展密钥使用扩展默认值”。
- 设置 CA 证书的约束值。没有为键使用扩展设置限制 ; 对于扩展密钥使用扩展,为 CA 设置适当的 OID 约束。更多信息请参阅 第 B.1.8 节 “扩展密钥使用扩展默认值”。
- 对配置集进行了更改后,再次登录代理服务页面,然后重新启用证书配置文件。
有关修改证书配置集的详情请参考 第 3.2 节 “设置证书配置集”。
