Red Hat Training
A Red Hat training course is available for RHEL 8
41.7. Parâmetros de configuração do perfil do certificado
Os parâmetros de configuração do perfil do certificado são armazenados em um arquivo profile_name.cfg no diretório de perfis da CA, /var/lib/pki/pki-tomcat/ca/profiles/ca
. Todos os parâmetros para um perfil - padrões, entradas, saídas e restrições - são configurados dentro de um único conjunto de políticas. Um conjunto de políticas para um perfil de certificado tem o nome policyset.policyName.policyNumber.
Por exemplo, para o conjunto de políticas serverCertSet
:
policyset.list=serverCertSet policyset.serverCertSet.list=1,2,3,4,5,6,7,8 policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl policyset.serverCertSet.1.constraint.name=Subject Name Constraint policyset.serverCertSet.1.constraint.params.pattern=CN=[^,]+,.+ policyset.serverCertSet.1.constraint.params.accept=true policyset.serverCertSet.1.default.class_id=subjectNameDefaultImpl policyset.serverCertSet.1.default.name=Subject Name Default policyset.serverCertSet.1.default.params.name=CN=$request.req_subject_name.cn$, OU=pki-ipa, O=IPA policyset.serverCertSet.2.constraint.class_id=validityConstraintImpl policyset.serverCertSet.2.constraint.name=Validity Constraint policyset.serverCertSet.2.constraint.params.range=740 policyset.serverCertSet.2.constraint.params.notBeforeCheck=false policyset.serverCertSet.2.constraint.params.notAfterCheck=false policyset.serverCertSet.2.default.class_id=validityDefaultImpl policyset.serverCertSet.2.default.name=Validity Default policyset.serverCertSet.2.default.params.range=731 policyset.serverCertSet.2.default.params.startTime=0
Cada conjunto de políticas contém uma lista de políticas configuradas para o perfil do certificado por número de identificação da política, na ordem em que devem ser avaliadas. O servidor avalia cada conjunto de políticas para cada solicitação que recebe. Quando uma única solicitação de certificado é recebida, um conjunto é avaliado, e quaisquer outros conjuntos no perfil são ignorados. Quando pares de chaves duplos são emitidos, o primeiro conjunto de apólices é avaliado para a primeira solicitação de certificado, e o segundo conjunto é avaliado para a segunda solicitação de certificado. Não é necessário mais de um conjunto de apólices ao emitir certificados simples ou mais de dois conjuntos ao emitir pares de chaves duplos.
Tabela 41.1. Parâmetros do arquivo de configuração do perfil do certificado
Parâmetro | Descrição |
---|---|
desc |
Uma descrição em texto livre do perfil do certificado, que é mostrada na página final das entidades. Por exemplo, |
habilitar |
Permite que o perfil seja acessível através da página das entidades finais. Por exemplo, |
auth.instance_id |
Define o plug-in do gerenciador de autenticação a ser usado para autenticar o pedido de certificado. Para inscrição automática, a CA emite um certificado imediatamente se a autenticação for bem sucedida. Se a autenticação falhar ou não houver um plug-in de autenticação especificado, o pedido é enfileirado para ser aprovado manualmente por um agente. Por exemplo, |
authz.acl |
Especifica a restrição de autorização. Esta é usada predominantemente para definir a lista de controle de acesso (ACL) de avaliação de grupo. Por exemplo, o parâmetro
Na renovação do certificado de usuário baseado em diretório, esta opção é utilizada para garantir que o requerente original e o usuário atualmente autenticado sejam o mesmo. Uma entidade deve autenticar (vincular ou, essencialmente, entrar no sistema) antes que a autorização possa ser avaliada. |
nome |
O nome do perfil do certificado. Por exemplo, |
input.list |
Lista as entradas permitidas para o perfil do certificado pelo nome. Por exemplo, |
input.input_id.class_id |
Indica o nome da classe java para a entrada por ID de entrada (o nome da entrada listada em input.list). Por exemplo, |
output.list |
Lista os formatos de saída possíveis para o perfil do certificado pelo nome. Por exemplo, |
output.output_id.class_id |
Especifica o nome da classe java para o formato de saída nomeado no output.list. Por exemplo, |
policyset.list |
Lista as regras do perfil de certificado configurado. Para certificados duplos, um conjunto de regras se aplica à chave de assinatura e o outro à chave de criptografia. Certificados únicos usam apenas um conjunto de regras de modelo de certificado. Por exemplo, |
policyset.policyset_id.list |
Lista as políticas dentro do conjunto de políticas configurado para o perfil do certificado por número de identificação da política, na ordem em que devem ser avaliadas. Por exemplo, |
policyset.policyset_id.policy_number.constraint.class_id | Indica o nome da classe java do plug-in de restrição definido para o padrão configurado na regra de perfil. Por exemplo, policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl. |
policyset.policyset_id.policy_number.constraint.name | Dá o nome definido pelo usuário da restrição. Por exemplo, policyset.serverCertSet.1.constraint.name=Subject Name Constraint. |
policyset.policyset_id.policy_number.constraint.params.attribute | Especifica um valor para um atributo permitido para a restrição. Os atributos possíveis variam de acordo com o tipo de restrição. Por exemplo, policyset.serverCertSet.1.constraint.params.pattern=CN=.*. |
policyset.policyset_id.policy_number.default.class_id | Dá o nome da classe java para o padrão definido na regra de perfil. Por exemplo, policyset.serverCertSet.1.default.class_id=userSubjectNameDefaultImpl |
policyset.policyset_id.policy_number.default.name | Dá o nome definido pelo usuário do padrão. Por exemplo, policyset.serverCertSet.1.default.name=Subject Name Default |
policyset.policyset_id.policy_number.default.params.attribute | Especifica um valor para um atributo permitido para o padrão. Os atributos possíveis variam de acordo com o tipo de padrão. Por exemplo, policyset.serverCertSet.1.default.params.name=CN=(Name)$request.requestor_name$. |