5.2.2.2. 使用服务器侧密钥注册证书
默认的 Sever-Side Keygen 注册配置集可在 EE 页面的 List Certificate Profiles 选项卡找到:
手动用户使用服务器端密钥注册注册
图 5.1. 需要代理手动批准的服务器端密钥生成
使用服务器端密钥生成目录验证的用户注册
图 5.2. server-Side Keygen Enrollment,在成功 LDAP uid/pwd 身份验证后将自动批准
无论如何批准请求,服务器侧密钥注册机制都需要最终用户输入 PKCS#12 软件包的密码,其中包含签发的证书以及服务器发布后生成的加密私钥。
重要
用户不应与任何人共享其密码。甚至是 CA 或 KRA 代理。
当注册请求被批准后,将生成一个 PKCS#12 软件包,并生成、
- 如果是手动批准,PS PKCS#12 文件将返回到批准请求的 CA 代理;然后代理应该将 PKCS#12 文件转发给用户。
- 如果是自动批准,PMPS PKCS#12 文件将返回到提交该请求的用户
图 5.3. 代理手动批准注册
收到 PKCS#12 文件后,用户可以使用 pkcs12util(如
pkcs12util
)将此文件导入到每个应用程序自己的用户内部证书/密钥数据库中。例如,如 Firefox nss 数据库。