5.6.3. 实际 CMC 注册方案
这部分论述了频繁实际的使用场景及其工作流,以便 CA 管理员决定使用哪个 CMC 方法。
有关使用 CMC 注册证书的常规过程,请参阅 第 5.6.2 节 “CMC 注册过程”。
5.6.3.1. 获取系统和服务器证书
如果 LDAP 或 web 服务器等服务需要 TLS 服务器证书,则此服务器的管理员会根据服务的文档创建一个 CSR,并将其发送到 CA 的代理进行批准。将 第 5.6.2 节 “CMC 注册过程” 中描述的步骤用于此过程。另外,请考虑以下要求:
- 注册配置集
- 代理必须使用 第 9.3 节 “CMC 身份验证插件” 中列出的现有 CMC 配置集之一,或者创建一个使用
CMCAuth身份验证机制的自定义配置集。 - CMC 签署证书
- 对于系统证书,CA 代理必须生成并签署 CMC 请求。为此,请将
CMCRequest配置文件中的nickname参数设置为 CA 代理的 nickname。注意CA 代理必须有权访问自己的私钥。 HttpClientTLS Client Nickname- 在
CMCRequest实用程序配置文件中,使用与HttpClient配置文件中的 TLS 客户端身份验证相同的证书。 HttpClientservletParameter- 传递给
HttpClient工具的配置文件中的servlet是指处理请求的 CMC servlet 和注册配置文件。根据您请求的证书类型,在上一步中创建的配置文件中添加以下条目之一:- 对于 CA 签名证书:
servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCcaCert
- 对于 KRA 传输证书:
servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCkraTransportCert
- 对于 OCSP 签名证书:
servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCocspCert
- 对于审计签名证书:
servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCauditSigningCert
- 对于子系统证书:
- 对于 RSA 证书:
servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCsubsystemCert
- 对于 ECC 证书:
servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCECCsubsystemCert
- 对于 TLS 服务器证书:
- 对于 RSA 证书:
servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCserverCert
- 对于 ECC 证书:
servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCECCserverCert
- 对于管理员证书:
servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caFullCMCUserCert
详情:
- 当代理预签署 CSR 时,由于代理检查 CSR 来进行识别,因此该验证身份被视为已建立的识别。不需要额外的 CMC 特定的身份证。
- PKCS #10 文件已提供 Possession 信息,且不需要额外的 Possession(POP)。
- 在代理预批准的请求中,必须禁用
PopLinkWittnessV2功能,因为代理会检查身份识别。
