3.2.2. 使用基于 Java 的管理控制台管理证书注册配置集
3.2.2.1. 通过 CA 控制台创建证书配置集
为了安全起见,证书系统可强制隔离现有的证书配置集,只有管理员在代理允许后才可以编辑它。要添加新证书配置集或修改现有证书配置集,请以管理员身份执行以下步骤:
- 登录到证书Certificate Systemnbsp;System CA 子系统控制台。
pkiconsole https://server.example.com:8443/ca
- 在 Configuration 选项卡中,选择 Certificate Manager,然后选择 Certificate Profiles。Certificate Profile Instances Management 选项卡(列出配置的证书配置集)会打开。
- 要创建新证书配置文件,请单击。在 Select Certificate Profile Plugin Implementation 窗口中,选择创建配置集的证书类型。
- 在 Certificate Profile Instance Editor 中查看配置集信息。
- 证书配置文件实例 ID.这是系统用来识别配置集的 ID。
- 证书配置文件名称.这是配置集的用户友好名称。
- 证书配置文件描述.
- 最终用户证书配置文件.这将设置请求是否必须通过配置集的输入表单进行发布。这通常设置为 true。将其设置为 false 可让通过证书管理器的证书配置集框架处理签名请求,而不是通过证书配置集的输入页面。
- 证书配置文件身份验证.这将设置身份验证方法。通过为身份验证提供实例 ID 来设置自动化身份验证。如果此字段为空,则验证方法是代理批准的注册;请求将提交到代理服务接口的请求队列。除非用于 TMS 子系统,否则管理员必须选择以下身份验证插件之一:
- CMCAuth :当 CA 代理必须批准并提交注册请求时,使用此插件。
- CMCUserSignedAuth :使用此插件使非代理用户注册自己的证书。
- 点击。插件编辑器关闭,新配置集在 profile 选项卡中列出。
- 为新配置集配置策略、输入和输出。从列表中选择新配置集,再单击。
- 在 证书配置文件规则编辑器窗口的 Policies 选项卡中设置策略。Policies 标签页列出了为配置集类型默认设置的策略。
- 要添加策略,请点击。
- 从 Default 字段中选择默认值,在 Constraints 字段中选择与该策略关联的限制, 。
- 填写策略设置 ID。在发出双键对时,单独的策略会定义与每个证书关联的策略。然后填写证书配置集策略 ID,这是证书配置集策略的名称或标识符。
- 在 Defaults 和 Constraints 选项卡中配置任何参数。默认值 定义填充证书请求的属性,后者决定了证书的内容。这些可以是扩展、有效期期或证书中包含的其他字段。约束 定义了默认值。如需每个默认或约束的完整详情,请参阅 第 B.1 节 “默认参考” 和 第 B.2 节 “约束参考”。
要修改现有策略,请选择一个策略,然后点。然后,编辑该策略的默认值和限制。要删除策略,请选择策略,然后点。 - 在 证书配置文件规则编辑器窗口的 输入 选项卡中设置输入。配置集可以有多个输入类型。注意除非为 TMS 子系统配置配置集,否则仅选择 cmcCertReqInput 并删除其他配置集,并点 按钮。
- 要添加输入,请单击。
- 从列表中选择输入,第 A.1 节 “输入参考”。。如需默认输入的完整详情,请参阅
- 此时会打开 New Certificate Profile Editor 窗口。设置输入 ID, 。
可以添加和删除输入。可以选择编辑输入,但因为输入没有参数或其他设置,因此没有配置任何内容。要删除输入,请选择输入,然后单击。 - 在 证书配置集 规则编辑器 窗口的 Outputs 选项卡中设置输出。必须为使用自动身份验证方法的任何证书配置集设置输出;不需要为使用代理批准的验证的任何证书配置集设置输出。默认情况下,所有配置集都会设置证书输出类型,并自动添加到自定义配置集。除非为 TMS 子系统配置配置集,否则仅选择 certOutput。可以添加和删除输出。可以选择编辑输出,但由于输出没有参数或其他设置,所以没有配置任何设置。
- 要添加输出,请单击。
- 选择列表中的输出,。
- 为输出指定名称或标识符,然后单击。此输出将在输出标签页中列出。您可以编辑它,向此输出中的参数提供值。
要删除输出,请选择列表中的输出,然后单击。 - 重启 CA 以应用新配置集。
systemctl restart pki-tomcatd-nuxwdog@instance_name.service
- 以管理员创建配置集后,CA 代理必须在代理服务页面中批准配置集以启用该配置集。
- 打开 CA 的服务页面。
https://server.example.com:8443/ca/services
- 单击 Manage Certificate Profiles 链接。本页列出了管理员设置的所有证书配置文件,包括活跃和不活跃状态。
- 点要批准的证书配置集的名称。
- 在页面底部,单击按钮。
注意
如果这个配置集将与 TPS 搭配使用,则必须将 TPS 配置为识别配置集类型。这在 11.1.4 中。在红帽认证系统规划、安装和部署指南中管理智能卡 CA 配置文件.
配置集的授权方法只能使用命令行添加到配置集,如红帽证书系统规划、安装和部署指南中的文件系统中直接创建和编辑证书配置集部分。