Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.2.2. 使用基于 Java 的管理控制台管理证书注册配置集

3.2.2.1. 通过 CA 控制台创建证书配置集
复制链接

为了安全起见,证书系统可强制隔离现有的证书配置集,只有管理员在代理允许后才可以编辑它。要添加新证书配置集或修改现有证书配置集,请以管理员身份执行以下步骤:
  1. 登录到证书Certificate Systemnbsp;System CA 子系统控制台。 
    pkiconsole https://server.example.com:8443/ca
    Copy to Clipboard Toggle word wrap
  2. Configuration 选项卡中,选择 Certificate Manager,然后选择 Certificate Profiles
    Certificate Profile Instances Management 选项卡(列出配置的证书配置集)会打开。
  3. 要创建新证书配置文件,请单击 Add
    Select Certificate Profile Plugin Implementation 窗口中,选择创建配置集的证书类型。
    View larger image
  4. Certificate Profile Instance Editor 中查看配置集信息。
    View larger image
    • 证书配置文件实例 ID.这是系统用来识别配置集的 ID。
    • 证书配置文件名称.这是配置集的用户友好名称。
    • 证书配置文件描述.
    • 最终用户证书配置文件.这将设置请求是否必须通过配置集的输入表单进行发布。这通常设置为 true。将其设置为 false 可让通过证书管理器的证书配置集框架处理签名请求,而不是通过证书配置集的输入页面。
    • 证书配置文件身份验证.这将设置身份验证方法。通过为身份验证提供实例 ID 来设置自动化身份验证。如果此字段为空,则验证方法是代理批准的注册;请求将提交到代理服务接口的请求队列。
      除非用于 TMS 子系统,否则管理员必须选择以下身份验证插件之一:
      • CMCAuth :当 CA 代理必须批准并提交注册请求时,使用此插件。
      • CMCUserSignedAuth :使用此插件使非代理用户注册自己的证书。
  5. 点击 OK。插件编辑器关闭,新配置集在 profile 选项卡中列出。
  6. 为新配置集配置策略、输入和输出。从列表中选择新配置集,再单击 Edit/View
  7. 证书配置文件规则编辑器窗口的 Policies 选项卡中设置策略Policies 标签页列出了为配置集类型默认设置的策略。
    1. 要添加策略,请点击 Add
      View larger image
    2. Default 字段中选择默认值,在 Constraints 字段中选择与该策略关联的限制,然后单击确定
      View larger image
    3. 填写策略设置 ID。在发出双键对时,单独的策略会定义与每个证书关联的策略。然后填写证书配置集策略 ID,这是证书配置集策略的名称或标识符。
    4. DefaultsConstraints 选项卡中配置任何参数。
      View larger image
      默认值 定义填充证书请求的属性,后者决定了证书的内容。这些可以是扩展、有效期期或证书中包含的其他字段。约束 定义了默认值。
      如需每个默认或约束的完整详情,请参阅 第 B.1 节 “默认参考”第 B.2 节 “约束参考”
    要修改现有策略,请选择一个策略,然后点 Edit。然后,编辑该策略的默认值和限制。
    要删除策略,请选择策略,然后点 Delete
  8. 证书配置文件规则编辑器窗口的 输入 选项卡中设置输入。配置集可以有多个输入类型。
    注意
    除非为 TMS 子系统配置配置集,否则仅选择 cmcCertReqInput 并删除其他配置集,并点 Delete 按钮。
    1. 要添加输入,请单击 Add
      View larger image
    2. 从列表中选择输入,然后单击确定。如需默认输入的完整详情,请参阅 第 A.1 节 “输入参考”
    3. 此时会打开 New Certificate Profile Editor 窗口。设置输入 ID,然后单击确定
      View larger image
    可以添加和删除输入。可以选择编辑输入,但因为输入没有参数或其他设置,因此没有配置任何内容。
    要删除输入,请选择输入,然后单击 Delete
  9. 证书配置集 规则编辑器 窗口的 Outputs 选项卡中设置输出
    必须为使用自动身份验证方法的任何证书配置集设置输出;不需要为使用代理批准的验证的任何证书配置集设置输出。默认情况下,所有配置集都会设置证书输出类型,并自动添加到自定义配置集。
    除非为 TMS 子系统配置配置集,否则仅选择 certOutput
    View larger image
    可以添加和删除输出。可以选择编辑输出,但由于输出没有参数或其他设置,所以没有配置任何设置。
    1. 要添加输出,请单击 Add
    2. 选择列表中的输出,然后单击确定
    3. 为输出指定名称或标识符,然后单击 OK
      此输出将在输出标签页中列出。您可以编辑它,向此输出中的参数提供值。
    要删除输出,请选择列表中的输出,然后单击 Delete
  10. 重启 CA 以应用新配置集。 
    systemctl restart pki-tomcatd-nuxwdog@instance_name.service
    Copy to Clipboard Toggle word wrap
  11. 以管理员创建配置集后,CA 代理必须在代理服务页面中批准配置集以启用该配置集。
    1. 打开 CA 的服务页面。 
      https://server.example.com:8443/ca/services
      Copy to Clipboard Toggle word wrap
    2. 单击 Manage Certificate Profiles 链接。本页列出了管理员设置的所有证书配置文件,包括活跃和不活跃状态。
    3. 点要批准的证书配置集的名称。
    4. 在页面底部,单击 启用 按钮。
      View larger image
注意
如果这个配置集将与 TPS 搭配使用,则必须将 TPS 配置为识别配置集类型。这在 11.1.4 中。在红帽认证系统规划、安装和部署指南中管理智能卡 CA 配置文件.
配置集的授权方法只能使用命令行添加到配置集,如红帽证书系统规划、安装和部署指南中的文件系统中直接创建和编辑证书配置集部分。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat