8.4. 配置发布到 LDAP 目录
配置发布的一般过程涉及设置发布发布程序,以将证书或 CRL 发布到特定位置。根据所使用的位置数量,可以使用单个发布程序或多个发布者。可以通过证书和 CRL 或精细定义(如证书类型)来分割位置。规则通过与发布者关联,确定要发布哪些类型,并告知什么位置。
配置 LDAP 发布过程与其他发布流程类似,但有额外的步骤来配置目录:
- 配置将发布到证书的目录服务器。某些属性必须添加到条目中,并且必须配置绑定身份和身份验证方法。
- 为发布的每种对象类型配置发布程序: CA 证书、跨对证书、CRL 和用户证书。publisher 会声明将对象存储在哪一属性中。默认设置的属性是用于存储每个对象类型的 X.500 标准属性。此属性可以在发布器中更改,但通常不需要更改 LDAP 发布程序。
- 设置映射程序,使条目的 DN 从证书的主题名称派生出来。这通常不需要为 CA 证书、CRL 和用户证书设置。可为一种证书设置多个映射程序。例如,这可以发布来自位于目录树不同部分公司的两组用户的证书。为每个组创建一个映射程序来指定不同的树分支。有关设置映射程序的详情,请参考 第 8.4.3 节 “创建映射程序”。
- 创建将发布程序连接到映射程序的规则,如 第 8.5 节 “创建规则” 所述。
- 启用发布,如 第 8.6 节 “启用发布” 所述。
8.4.1. 配置 LDAP 目录
在发布证书和 CRL 之前,必须将 Directory 服务器配置为与发布系统一起使用。这意味着,用户条目必须具有允许它们接收证书信息的属性,而且必须创建条目来代表 CRL。
- 为 CA 设置条目。要让证书管理器发布其 CA 证书和密钥 CRL,该目录必须包含 CA 的条目。提示配置 LDAP 发布后,证书管理器会在 目录中自动创建或转换 CA 的条目。这个选项同时在 CA 和 CRL 映射程序实例中被设置,并默认启用。如果目录限制证书管理器在目录中创建条目,请在这些映射程序实例中关闭此选项,并在 目录中手动添加 CA 的条目。将 CA 的条目添加到目录时,根据 CA 的 DN 选择条目类型:
- 如果 CA 的 DN 以 cn 组件开头,请为 CA 创建一个新的 人 条目。选择其他类型的条目可能不允许指定 cn 组件。
- 如果 CA 的 DN 从组件开始,请为 CA 创建新的 organizationalunit 条目。
该条目不必处于 pkiCA 或 certificationAuthority 对象类中。证书管理器通过发布其 CA 的签名证书,自动将此条目转换为 pkiCA 或 certificationAuthority 对象类。注意pkiCA 对象类在 RFC 4523 中定义,而 Certified Authority 对象类在(obsolete)RFC 2256 中定义。根据 Directory 服务器使用的 schema 定义,可以接受任一对象类。在某些情况下,两个对象类都可用于同一 CA 条目。有关创建目录条目的更多信息,请参阅 Red Hat Directory Server 文档。 - 在 CA 和用户目录条目中添加正确的模式元素。
对象类型 模式 原因 最终用户证书 userCertificate;binary (attribute) 这是证书管理器发布证书的属性。这是一个多值属性,每个值都是 DER 编码的二进制 X.509 证书。名为 inetOrgPerson 的 LDAP 对象类允许此属性。strongAuthenticationUser 对象类允许此属性,并可与其他对象类结合使用,以允许将证书与其他对象类一起发布到目录条目。证书管理器不会自动将此对象类添加到相应 Directory 服务器的 schema 表中。如果它找到的目录对象不允许 userCertificate;binary 属性,添加或删除证书会失败。CA 证书 caCertificate;binary (attribute) 这是证书管理器发布证书的属性。服务器启动时,证书管理器将自己的 CA 证书发布到自己的 LDAP 目录条目。该条目对应于证书管理器的签发者名称。这是 pkiCA 或 certificationAuthority 对象类的必要属性。如果证书管理器可以找到 CA 的目录条目,则证书管理器将此对象类添加到 CA 的目录条目中。CRL certificateRevocationList;binary (attribute) 这是证书管理器发布 CRL 的属性。证书管理器将 CRL 发布到自己的 LDAP 目录条目。该条目对应于证书管理器的签发者名称。这是 pkiCA 或 certificationAuthority 对象类的属性。属性的值是 DER 编码的二进制 X.509 CRL。CA 的条目必须已经包含 pkiCA 或 certificationAuthority 对象类,才能将 CRL 发布到该条目。Delta CRL deltaRevocationList;binary (attribute) 这是证书管理器发布 delta CRL 的属性。证书管理器将 delta CRL 发布到自己的 LDAP 目录条目,独立于完整的 CRL。delta CRL 条目对应于证书管理器的签发者名称。此属性属于 deltaCRL 或 Certification Authority-V2 对象类。属性的值是 DER 编码的二进制 X.509 delta CRL。 - 为证书管理器设置绑定 DN,以用于访问目录服务器。证书管理器用户必须对目录具有读写权限,才能将证书和 CRL 发布到该目录,以便证书管理器可以修改与证书相关的信息的用户条目,以及 CA 的证书和 CRL 相关信息的 CA 条目。绑定 DN 条目可以是以下任意一种:
- 具有写入权限的现有 DN,如 Directory Manager。
- 被授予写入访问权限的新用户。条目可以通过证书管理器的 DN 识别,如 cn=testCA、ou=Research Dept、o=Example Corporation、st=California, c=US。注意请仔细考虑为此用户授予什么权限。通过为帐户创建 ACL,可以限制该用户在目录中写入的内容。有关授予证书管理器条目的写入权限的说明,请参阅目录服务器文档。
- 设置目录验证方法,以便证书管理器如何向 Directory 服务器进行身份验证。有三个选项:基本身份验证(简单用户名和密码);没有客户端身份验证的 SSL(简单用户名和密码);以及通过客户端身份验证(基于证书)的 SSL。有关设置这些与服务器通信的说明,请查看 Red Hat Directory Server 文档。