搜索

5.6.3. 实际 CMC 注册方案

download PDF
这部分论述了频繁实际的使用场景及其工作流,以便 CA 管理员决定使用哪个 CMC 方法。
有关使用 CMC 注册证书的常规过程,请参阅 第 5.6.2 节 “CMC 注册过程”

5.6.3.1. 获取系统和服务器证书

如果 LDAP 或 web 服务器等服务需要 TLS 服务器证书,则此服务器的管理员会根据服务的文档创建一个 CSR,并将其发送到 CA 的代理进行批准。将 第 5.6.2 节 “CMC 注册过程” 中描述的步骤用于此过程。另外,请考虑以下要求:
注册配置集
代理必须使用 第 9.3 节 “CMC 身份验证插件” 中列出的现有 CMC 配置集之一,或者创建一个使用 CMCAuth 身份验证机制的自定义配置集。
CMC 签署证书
对于系统证书,CA 代理必须生成并签署 CMC 请求。为此,请将 CMCRequest 配置文件中的 nickname 参数设置为 CA 代理的 nickname。
注意
CA 代理必须有权访问自己的私钥。
HttpClient TLS Client Nickname
CMCRequest 实用程序配置文件中,使用与 HttpClient 配置文件中的 TLS 客户端身份验证相同的证书。
HttpClient servlet Parameter
传递给 HttpClient 工具的配置文件中的 servlet 是指处理请求的 CMC servlet 和注册配置文件。
根据您请求的证书类型,在上一步中创建的配置文件中添加以下条目之一:
  • 对于 CA 签名证书:
    servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCcaCert
  • 对于 KRA 传输证书:
    servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCkraTransportCert
  • 对于 OCSP 签名证书:
    servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCocspCert
  • 对于审计签名证书:
    servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCauditSigningCert
  • 对于子系统证书:
    • 对于 RSA 证书:
      servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCsubsystemCert
    • 对于 ECC 证书:
      servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCECCsubsystemCert
  • 对于 TLS 服务器证书:
    • 对于 RSA 证书:
      servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCserverCert
    • 对于 ECC 证书:
      servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCECCserverCert
  • 对于管理员证书:
    servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caFullCMCUserCert
详情:
  • 当代理预签署 CSR 时,由于代理检查 CSR 来进行识别,因此该验证身份被视为已建立的识别。不需要额外的 CMC 特定的身份证。
  • PKCS #10 文件已提供 Possession 信息,且不需要额外的 Possession(POP)。
  • 在代理预批准的请求中,必须禁用 PopLinkWittnessV2 功能,因为代理会检查身份识别。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.