5.7. 证书配置文件配置参数
证书配置集配置参数存储在 CA 配置集目录中的 profile_name.cfg 文件中,即 /var/lib/pki/pki-tomcat/ca/profiles/ca。配置集的所有参数(默认值、输入、输出和限制)都在单个策略集中配置。为证书配置集设置的策略具有名称 policyset.policyName.policyNumber。例如,对于策略设置 serverCertSet :
policyset.list=serverCertSet policyset.serverCertSet.list=1,2,3,4,5,6,7,8 policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl policyset.serverCertSet.1.constraint.name=Subject Name Constraint policyset.serverCertSet.1.constraint.params.pattern=CN=[^,]+,.+ policyset.serverCertSet.1.constraint.params.accept=true policyset.serverCertSet.1.default.class_id=subjectNameDefaultImpl policyset.serverCertSet.1.default.name=Subject Name Default policyset.serverCertSet.1.default.params.name=CN=$request.req_subject_name.cn$, OU=pki-ipa, O=IPA policyset.serverCertSet.2.constraint.class_id=validityConstraintImpl policyset.serverCertSet.2.constraint.name=Validity Constraint policyset.serverCertSet.2.constraint.params.range=740 policyset.serverCertSet.2.constraint.params.notBeforeCheck=false policyset.serverCertSet.2.constraint.params.notAfterCheck=false policyset.serverCertSet.2.default.class_id=validityDefaultImpl policyset.serverCertSet.2.default.name=Validity Default policyset.serverCertSet.2.default.params.range=731 policyset.serverCertSet.2.default.params.startTime=0
每个策略集包含按照策略 ID 号为证书配置文件配置的策略列表,以它们的评估顺序排列。服务器评估为其收到的每个请求设置的每个策略。收到单个证书请求时,将评估一个集合,并忽略配置集中的任何其他集合。发出双密钥对后,第一个策略集针对第一个证书请求进行评估,第二个策略集针对第二个证书请求进行评估。在发行双密钥对时,在发布单个证书或多个集合时,您不需要多个策略集。
| 参数 | 描述 |
|---|---|
| DESC |
证书配置文件的免费文本描述,显示在端点页面中。例如, |
| 启用 |
启用配置文件,使它可通过端点页面访问。例如: |
| auth.instance_id |
设置用于验证证书请求的身份验证管理器插件。要进行自动注册,如果身份验证成功,CA 会立即发出证书。如果身份验证失败或者没有指定身份验证插件,则会将请求排队,以供代理手动批准。例如,auth |
| authz.acl |
指定授权约束。这主要用于设置组评估访问控制列表(ACL)。例如,
在基于目录的用户证书续订中,此选项用于确保原始请求者和当前验证的用户相同。在评估授权前,实体必须验证(二进制或本质上是登录到系统)。 |
| name |
证书配置文件的名称。例如, |
| input.list |
按名称列出证书配置集允许的输入。例如, |
| input.input_id.class_id |
表示输入 ID(在 input.list 中列出的输入名称)的 java 类名称。例如: |
| output.list |
根据名称列出证书配置集的可能输出格式。例如 |
| output.output_id.class_id |
在 output.list 中指定输出格式的 java 类名称。例如: |
| policyset.list |
列出配置的证书配置集规则。对于双证书,一组规则适用于签名密钥,另一条适用于加密密钥。单个证书仅使用一组证书配置集规则。例如,policy |
| policyset.policyset_id.list |
根据策略 ID 号,按照评估的顺序为证书配置文件配置的顺序列出策略集合。例如: |
| policyset.policyset_id.policy_number.constraint.class_id | 表示为配置集规则中配置的默认配置的 java 类插件设置的 java 类名称。For example, policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl. |
| policyset.policyset_id.policy_number.constraint.name | 提供用户定义的约束名称。例如,policyset.serverCertSet.1.constraint.name=Subject Name Constraint。 |
| policyset.policyset_id.policy_number.constraint.params.attribute | 为约束的 allowed 属性指定值。可能的属性根据约束类型而有所不同。For example, policyset.serverCertSet.1.constraint.params.pattern=CN=.*. |
| policyset.policyset_id.policy_number.default.class_id | 提供配置集规则中设置的 java 类名称。For example, policyset.serverCertSet.1.default.class_id=userSubjectNameDefaultImpl |
| policyset.policyset_id.policy_number.default.name | 提供用户定义的默认名称。例如: policyset.serverCertSet.1.default.name=Subject Name Default |
| policyset.policyset_id.policy_number.default.params.attribute | 为默认值的 allowed 属性指定值。可能的属性因默认类型而异。例如: policyset.serverCertSet.1.default.params.name=CN=(Name)$request.requestor_name$. |
