3.2. 设置证书配置集
在证书系统中,您可以添加、删除和修改注册的配置集:
- 使用 PKI 命令行界面
- 使用基于 Java 的管理控制台
本节提供有关每种方法的信息。
3.2.1. 使用 PKI 命令行界面管理证书注册配置集
这部分论述了如何使用
pki
工具管理证书配置集。详情请查看 pki-ca-profile(1) man page。
注意
建议使用 raw 格式。有关配置集的每个属性和字段的详情,请参阅红帽认证系统规划、安装和部署指南中的有关文件系统创建和编辑证书配置集部分。
3.2.1.1. 启用和禁用证书配置集
在编辑证书配置集前,您必须禁用它。修改完成后,您可以重新启用该配置集。
注意
只有 CA 代理可以启用和禁用证书配置集。
例如,禁用
caCMCECserverCert
证书配置集:
# pki -c password -n caagent ca-profile-disable caCMCECserverCert
例如,启用
caCMCECserverCert
证书配置集:
# pki -c password -n caagent ca-profile-enable caCMCECserverCert
3.2.1.2. 以 Raw 格式创建证书配置集
要以 raw 格式创建新配置集:
# pki -c password -n caadmin ca-profile-add profile_name.cfg --raw
注意
在 raw 格式中,指定新的配置集 ID,如下所示:
profileId=profile_name
3.2.1.3. 使用 Raw 格式编辑证书配置文件
CA 管理员可以使用 raw 格式编辑证书配置文件,而无需手动下载配置文件。
例如,要编辑
caCMCECserverCert
配置集:
# pki -c password -n caadmin ca-profile-edit caCMCECserverCert
此命令自动下载原始格式的配置集配置,并在
VI
编辑器中打开它。关闭编辑器时,服务器上的配置集配置会更新。
编辑配置集后您不需要重启 CA。
重要
在编辑配置集前,禁用配置集。详情请查看 第 3.2.1.1 节 “启用和禁用证书配置集”。
例 3.2. 以 RAW 格式编辑证书配置集
例如,要编辑
caCMCserverCert
配置集以接受多个用户提供的扩展:
- 禁用配置集作为 CA 代理:
# pki -c password -n caagemt ca-profile-disable caCMCserverCert
- 以 CA 管理员身份编辑配置集:
- 在
VI
编辑器中下载并打开配置集:# pki -c password -n caadmin ca-profile-edit caCMCserverCert
- 更新配置以接受扩展。详情请查看 例 B.3 “CSR 中的多个用户提供的扩展”。
- 将配置集启用为 CA 代理:
# pki -c password -n caagent ca-profile-enable caCMCserverCert
3.2.1.4. 删除证书配置集
删除证书配置集:
# pki -c password -n caadmin ca-profile-del profile_name
重要
在删除配置集前,禁用配置集。详情请查看 第 3.2.1.1 节 “启用和禁用证书配置集”。