搜索

8.4. 配置发布到 LDAP 目录

download PDF
配置发布的一般过程涉及设置发布发布程序,以将证书或 CRL 发布到特定位置。根据所使用的位置数量,可以使用单个发布程序或多个发布者。可以通过证书和 CRL 或精细定义(如证书类型)来分割位置。规则通过与发布者关联,确定要发布哪些类型,并告知什么位置。
配置 LDAP 发布过程与其他发布流程类似,但有额外的步骤来配置目录:
  1. 配置将发布到证书的目录服务器。某些属性必须添加到条目中,并且必须配置绑定身份和身份验证方法。
  2. 为发布的每种对象类型配置发布程序: CA 证书、跨对证书、CRL 和用户证书。publisher 会声明将对象存储在哪一属性中。默认设置的属性是用于存储每个对象类型的 X.500 标准属性。此属性可以在发布器中更改,但通常不需要更改 LDAP 发布程序。
  3. 设置映射程序,使条目的 DN 从证书的主题名称派生出来。这通常不需要为 CA 证书、CRL 和用户证书设置。可为一种证书设置多个映射程序。例如,这可以发布来自位于目录树不同部分公司的两组用户的证书。为每个组创建一个映射程序来指定不同的树分支。
    有关设置映射程序的详情,请参考 第 8.4.3 节 “创建映射程序”
  4. 创建将发布程序连接到映射程序的规则,如 第 8.5 节 “创建规则” 所述。
  5. 启用发布,如 第 8.6 节 “启用发布” 所述。

8.4.1. 配置 LDAP 目录

在发布证书和 CRL 之前,必须将 Directory 服务器配置为与发布系统一起使用。这意味着,用户条目必须具有允许它们接收证书信息的属性,而且必须创建条目来代表 CRL。
  1. 为 CA 设置条目。要让证书管理器发布其 CA 证书和密钥 CRL,该目录必须包含 CA 的条目。
    提示
    配置 LDAP 发布后,证书管理器会在 目录中自动创建或转换 CA 的条目。这个选项同时在 CA 和 CRL 映射程序实例中被设置,并默认启用。如果目录限制证书管理器在目录中创建条目,请在这些映射程序实例中关闭此选项,并在 目录中手动添加 CA 的条目。
    将 CA 的条目添加到目录时,根据 CA 的 DN 选择条目类型:
    • 如果 CA 的 DN 以 cn 组件开头,请为 CA 创建一个新的 条目。选择其他类型的条目可能不允许指定 cn 组件。
    • 如果 CA 的 DN 从组件开始,请为 CA 创建新的 organizationalunit 条目。
    该条目不必处于 pkiCAcertificationAuthority 对象类中。证书管理器通过发布其 CA 的签名证书,自动将此条目转换为 pkiCAcertificationAuthority 对象类。
    注意
    pkiCA 对象类在 RFC 4523 中定义,而 Certified Authority 对象类在(obsolete)RFC 2256 中定义。根据 Directory 服务器使用的 schema 定义,可以接受任一对象类。在某些情况下,两个对象类都可用于同一 CA 条目。
    有关创建目录条目的更多信息,请参阅 Red Hat Directory Server 文档。
  2. 在 CA 和用户目录条目中添加正确的模式元素。
    要让证书管理器将证书和 CRL 发布到某个目录,必须配置有特定属性和对象类。
    对象类型 模式 原因
    最终用户证书 userCertificate;binary (attribute)
    这是证书管理器发布证书的属性。
    这是一个多值属性,每个值都是 DER 编码的二进制 X.509 证书。名为 inetOrgPerson 的 LDAP 对象类允许此属性。strongAuthenticationUser 对象类允许此属性,并可与其他对象类结合使用,以允许将证书与其他对象类一起发布到目录条目。证书管理器不会自动将此对象类添加到相应 Directory 服务器的 schema 表中。
    如果它找到的目录对象不允许 userCertificate;binary 属性,添加或删除证书会失败。
    CA 证书 caCertificate;binary (attribute)
    这是证书管理器发布证书的属性。
    服务器启动时,证书管理器将自己的 CA 证书发布到自己的 LDAP 目录条目。该条目对应于证书管理器的签发者名称。
    这是 pkiCAcertificationAuthority 对象类的必要属性。如果证书管理器可以找到 CA 的目录条目,则证书管理器将此对象类添加到 CA 的目录条目中。
    CRL certificateRevocationList;binary (attribute)
    这是证书管理器发布 CRL 的属性。
    证书管理器将 CRL 发布到自己的 LDAP 目录条目。该条目对应于证书管理器的签发者名称。
    这是 pkiCAcertificationAuthority 对象类的属性。属性的值是 DER 编码的二进制 X.509 CRL。CA 的条目必须已经包含 pkiCAcertificationAuthority 对象类,才能将 CRL 发布到该条目。
    Delta CRL deltaRevocationList;binary (attribute)
    这是证书管理器发布 delta CRL 的属性。证书管理器将 delta CRL 发布到自己的 LDAP 目录条目,独立于完整的 CRL。delta CRL 条目对应于证书管理器的签发者名称。
    此属性属于 deltaCRL 或 Certification Authority-V2 对象类。属性的值是 DER 编码的二进制 X.509 delta CRL。
  3. 为证书管理器设置绑定 DN,以用于访问目录服务器。
    证书管理器用户必须对目录具有读写权限,才能将证书和 CRL 发布到该目录,以便证书管理器可以修改与证书相关的信息的用户条目,以及 CA 的证书和 CRL 相关信息的 CA 条目。
    绑定 DN 条目可以是以下任意一种:
    • 具有写入权限的现有 DN,如 Directory Manager。
    • 被授予写入访问权限的新用户。条目可以通过证书管理器的 DN 识别,如 cn=testCA、ou=Research Dept、o=Example Corporation、st=California, c=US
      注意
      请仔细考虑为此用户授予什么权限。通过为帐户创建 ACL,可以限制该用户在目录中写入的内容。有关授予证书管理器条目的写入权限的说明,请参阅目录服务器文档。
  4. 设置目录验证方法,以便证书管理器如何向 Directory 服务器进行身份验证。有三个选项:基本身份验证(简单用户名和密码);没有客户端身份验证的 SSL(简单用户名和密码);以及通过客户端身份验证(基于证书)的 SSL。
    有关设置这些与服务器通信的说明,请查看 Red Hat Directory Server 文档。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.