6.6.6. SAN 和 DN 模式

auths.instance. <authID > .ldapStringAttributes in authentication instance configuration 指定在身份验证过程中检索哪些属性。例如：

auths.instance.ldap1.ldapStringAttributes=mail,cn,uid,edipi,pcc,firstname,lastname,exec-edipi,exec-pcc,exec-mail,certsToAdd,tokenCUID,tokenType

从用户的 LDAP 记录中检索后，可以引用这些属性的值，并使用它组成证书的 Subject Alternative Name(SAN)或以 $auth. <attribute name> $ .例如：

op.enroll.delegateIEtoken.keyGen.authentication.SANpattern=$auth.exec-edipi$.$auth.exec-pcc$@EXAMPLE.com
op.enroll.delegateIEtoken.keyGen.authentication.dnpattern=cn=$auth.firstname$.$auth.lastname$.$auth.edipi$,e=$auth.mail$,o=TMS Org

当在 SAN 和 DN 的 TPS 配置集中使用模式时，务必要确保正确设置 TPS 配置集中指定的 CA 注册配置集。例如：

在 TPS 上，在配置集 delegateIEtoken 中

op.enroll.delegateIEtoken.keyGen.authentication.ca.profileId=caTokenUserDelegateAuthKeyEnrollment

在 CA 中，在注册配置集 caTokenUserDelegateAuthKeyEnrollment 中

subjectDNInputImpl 插件必须指定为输入之一，以便上面的 TPS 配置集指定 DN：

input.i2.class_id=subjectDNInputImpl
input.i2.name=subjectDNInputImpl

同样，要允许上述 TPS 配置集指定 SAN，必须指定 subjectAltNameExtInputImpl 插件：

input.i3.class_id=subjectAltNameExtInputImpl
input.i3.name=subjectAltNameExtInputImpl

还必须指定 subjAltExtpattern:

policyset.set1.p6.default.params.subjAltExtPattern_0=(UTF8String)1.3.6.1.4.1.311.20.2.3,$request.req_san_pattern_0$

在上例中，OID 1.3.6.1.4.1.311.20.2.3 是 User Principal Name(UPN)的 OID，而 request.req_san_pattern_0 是 delegateIEtoken SAN 模式中指定的第一个 SAN 模式。

您可以同时指定多个 SAN。在 TPS 端，在 SANpattern 中指定多个 SAN，用逗号(",")分隔。在 CA 端，需要以以下格式定义对应的 subjAltExtPattern ：

policyset.<policy set id>.<policy id>.default.params.subjAltExtPattern_<ordered number>=

在上面的中，& lt;ordered number > 以 0 开头，并增加 TPS 端指定的每个 SAN 模式：

policyset.set1.p6.default.params.subjAltExtPattern_0=
policyset.set1.p6.default.params.subjAltExtPattern_1=
...

以下是一个完整的示例：

例 6.1. SANpattern 和 DNpattern 配置

LDAP 记录包含以下信息：

givenName: user1a
mail: user1a@example.org
firstname: user1a
edipi: 123456789
pcc: AA
exec-edipi: 999999999
exec-pcc: BB
exec-mail: user1b@EXAMPLE.com
tokenType: delegateISEtoken
certstoadd: 59,ca1,0,kra1

TPS External Registration 配置集 委派IEtoken 包含：

SANpattern:

op.enroll.delegateISEtoken.keyGen.authentication.SANpattern=$auth.exec-edipi$.$auth.exec-pcc$@EXAMPLE.com

DNPattern ：

op.enroll.delegateISEtoken.keyGen.authentication.dnpattern=cn=$auth.firstname$.$auth.lastname$.$auth.edipi$,e=$auth.mail$,o=TMS Org

CA caTokenUserDelegateAuthKeyEnrollment contains:

input.i2.class_id=subjectDNInputImpl
input.i2.name=subjectDNInputImpl
input.i3.class_id=subjectAltNameExtInputImpl
input.i3.name=subjectAltNameExtInputImpl

policyset.set1.p6.constraint.class_id=noConstraintImpl
policyset.set1.p6.constraint.name=No Constraint
policyset.set1.p6.default.class_id=subjectAltNameExtDefaultImpl
policyset.set1.p6.default.name=Subject Alternative Name Extension Default
policyset.set1.p6.default.params.subjAltExtGNEnable_0=true
policyset.set1.p6.default.params.subjAltExtPattern_0=(UTF8String)1.3.6.1.4.1.311.20.2.3,$request.req_san_pattern_0$
policyset.set1.p6.default.params.subjAltExtType_0=OtherName
policyset.set1.p6.default.params.subjAltNameExtCritical=false
policyset.set1.p6.default.params.subjAltNameNumGNs=1

然后，生成的证书包含：

Subject: CN=user1a..123456789,E=user1a@example.org,O=TMS Org
Identifier: Subject Alternative Name - 2.5.29.17
Critical: no
Value:
  OtherName: (UTF8String)1.3.6.1.4.1.311.20.2.3,999999999.BB@EXAMPLE.com

6.6.6. SAN 和 DN 模式

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links