6.6.5. 委托支持
委托支持在身份验证(登录、数据加密和解密或签名方面)方面,用户就可代表其代表谁进行委托委托(例如,公司执行者具有一个或多个委托)。
一个示例场景可能是每个委托都有自己的令牌,用于代表执行执行。此令牌包含以下证书和密钥(由 TPS 配置集终止)的组合:
- Authentication certificate/keys:CN 包含委派的名称和唯一 ID。主题备用名称(SAN)扩展包含执行的主名称(UPN)。
- 加密证书:执行主加密证书的确切副本。
- 签名证书:CN 包含委派的名称和唯一 ID。SAN 包含执行执行的 RFC822Name。
使用以下参数来启用委托支持:
externalReg.delegation.enable=true
重要
要临时解决这个问题,请手动将
op.enroll.delegateISEtoken.keyGen.encryption.ca.profileId 参数设置为 /var/lib/pki/instance_name/tps/conf/CS.cfg 文件来 caTokenUserDelegateAuthKeyEnrollment:
op.enroll.delegateISEtoken.keyGen.encryption.ca.profileId=caTokenUserDelegateAuthKeyEnrollment
