9.5. 创建规则
规则决定了在哪些位置发布哪些证书对象。规则独立工作,而不是在 tandem 中工作。要发布的证书或 CRL 会根据每个规则进行匹配。激活它匹配的规则。这样,可以将同一证书或 CRL 发布到文件、在线证书状态管理器,并通过匹配基于文件的规则、OCSP 规则和匹配基于目录的规则来发送到 LDAP 目录。
可以为每个对象类型设置规则:CA 证书、CRL、用户证书和跨对证书。对于不同类型的证书或不同类型的 CRL,规则可以更加详细。
规则首先根据与对象的规则中设置的 type 和 predicate 匹配。发布匹配的对象由与规则关联的发布者和映射程序决定。
为证书管理器发布的每种证书创建规则。
通过执行以下操作来修改发布规则:
- 登录证书管理器控制台。
pkiconsole https://server.example.com:8443/ca
- 在 Configuration 选项卡中,从左侧的导航树中选择 Certificate Manager。选择 Publishing,然后选择 Rules。Rules Management 选项卡(列出配置的规则)在右侧打开。
- 若要编辑现有规则,请从列表中选择该规则,然后单击 。这将打开 Rule Editor 窗口。
- 要创建规则,请单击 。这将打开 Select Rule Plug-in Implementation 窗口。
选择 Rule 模块。这是唯一的默认模块。如果注册了任何自定义模块,它们也可用。 - 编辑规则。
- type.这是规则适用的证书类型。对于 CA 签名证书,值为 cacert。对于跨林信任,值为 xcert。对于所有其他证书类型,值为 certs。对于 CRL,指定 crl。
- predicate。这会为规则适用的证书或 CRL 发布点设置 predicate 值。CRL 发布点、delta CRL 和证书的 predicate 值列在 表 9.3 “predicate 表达式” 中。
- 启用。
- 映射器.发布到文件时不需要映射程序;仅 LDAP 发布需要它们。如果此规则与发布到 LDAP 目录的发布程序关联,请在此处选择适当的映射程序。对于所有其他形式的发布,请留空。
- 发布者.设置要与规则关联的发布程序。
表 9.3 “predicate 表达式” 列出可用于识别 CRL 发布点和 delta CRLs 和证书配置文件的 predicates。
| predicate Type | predicate |
|---|---|
| CRL 颁发点 |
issuingPointId==Issuing_Point_Instance_ID && isDeltaCRL==[true|false]
要仅发布 master CRL,请设置 isDeltaCRL==false。要仅发布 delta CRL,请设置 isDeltaCRL==true。要发布这两者,请为 master CRL 设置一条规则,并为 delta CRL 设置另一个规则。
|
| 证书配置文件 |
profileId==profile_name
要根据用于发布它们的配置集发布证书,请将 profileId== 设置为配置集名称,如 caServerCert。
|
注意
pkiconsole 已被弃用。
