5.8.2. 配置 SCEP 安全设置
管理员可通过几个不同的参数来设置 SCEP 连接的特定安全要求,如不使用相同的证书注册和常规证书注册,或者设置允许的加密算法以防止降级连接强度。这些参数在 表 5.2 “SCEP 安全性的配置参数” 中列出。
| 参数 | 描述 |
|---|---|
| ca.scep.encryptionAlgorithm | 设置默认或首选的加密算法。 |
| ca.scep.allowedEncryptionAlgorithms | 设定以逗号分隔的加密算法列表。 |
| ca.scep.hashAlgorithm | 设置默认值或首选的哈希算法。 |
| ca.scep.allowedHashAlgorithms | 设定以逗号分隔的允许哈希算法列表。 |
| ca.scep.nickname | 为 SCEP 通信提供证书的别名。除非设置了此参数,否则默认值是使用 CA 的密钥对和证书。 |
| ca.scep.nonceSizeLimit | 设定 SCEP 请求的最大值(以字节为单位)。默认值为 16 字节。 |
为 SCEP 注册设置安全设置:
- 停止 CA 服务器,以便您可以编辑配置文件。
systemctl stop pki-tomcatd@instance_name.service
- 打开 CA 的
CS.cfg文件。vim
/var/lib/pki/instance_name/ca/conf/CS.cfg - 设置所需的安全参数,如 表 5.2 “SCEP 安全性的配置参数” 中列出的。如果参数不存在,则将其添加到
CS.cfg文件中。ca.scep.encryptionAlgorithm=DES3 ca.scep.allowedEncryptionAlgorithms=DES3 ca.scep.hashAlgorithm=SHA1 ca.scep.allowedHashAlgorithms=SHA1,SHA256,SHA512 ca.scep.nickname=Server-Cert ca.scep.nonceSizeLimit=20
- 重启 CA 服务器。
systemctl start pki-tomcatd@instance_name.service
