14.8. CMC 的配置

这部分论述了如何通过 CMS (CMC)为证书管理配置证书系统。

14.8.1. 了解 CMC 的工作方式

在配置 CMC 前,请阅读以下文档以了解更多有关主题的信息:

14.8.2. 启用 PopLinkWittnessV2 功能

对于证书颁发机构(CA)上的高级别安全性,请在 /var/lib/pki/instance_name/ca/conf/CS.cfg 文件中启用以下选项: 
cmc.popLinkWitnessRequired=true

14.8.3. 启用 CMC 共享 Secret 功能

在证书颁发机构(CA)中启用共享令牌功能:
  1. 如果主机上启用了 watchdog 服务,请临时禁用该服务。请参阅 第 14.3.2.4 节 “禁用 Watchdog 服务”
  2. shrTok 属性添加到目录服务器的 schema 中: 
    # ldapmodify -D "cn=Directory Manager" -H ldaps://server.example.com:636 -W -x

dn: cn=schema
changetype: modify
add: attributetypes
attributetypes: ( 2.16.840.1.117370.3.1.123 NAME 'shrTok' DESC 'User
 Defined ObjectClass for SharedToken' SYNTAX 1.3.6.1.4.1.1466.115.121.1.40
 SINGLE-VALUE X-ORIGIN 'custom for sharedToken')
  3. 如果系统密钥存储在硬件安全模块(HSM)上,请在 /var/lib/pki/instance_name/ca/conf/CS.cfg 文件中设置 cmc.token 参数。例如: 
    cmc.token=NHSM-CONN-XC
  4. 使用以下方法之一启用共享令牌身份验证插件:
    • 注意
      pkiconsole 已被弃用。
      使用 pkiconsole 工具启用插件:
      1. 使用 pkiconsole 工具登录到系统。例如: 
        # pkiconsole https:host.example.com:8443/ca
      2. Configuration 选项卡中,选择 Authentication
      3. Add 并选择 SharedToken
      4. Next
      5. 输入以下信息: 
        Authentication InstanceID=SharedToken
shrTokAttr=shrTok
ldap.ldapconn.host=server.example.com
ldap.ldapconn.port=636
ldap.ldapconn.secureConn=true
ldap.ldapauth.bindDN=cn=Directory Manager
password=password
ldap.ldapauth.authtype=BasicAuth
ldap.basedn=ou=People,dc=example,dc=org
      6. 确定
    • 要手动启用插件,请在 /var/lib/pki/instance_name/ca/conf/CS.cfg 文件中添加以下设置: 
      auths.impl.SharedToken.class=com.netscape.cms.authentication.SharedSecret
auths.instance.SharedToken.dnpattern=
auths.instance.SharedToken.ldap.basedn=ou=People,dc=example,dc=org
auths.instance.SharedToken.ldap.ldapauth.authtype=BasicAuth
auths.instance.SharedToken.ldap.ldapauth.bindDN=cn=Directory Manager
auths.instance.SharedToken.ldap.ldapauth.bindPWPrompt=Rule SharedToken
auths.instance.SharedToken.ldap.ldapauth.clientCertNickname=
auths.instance.SharedToken.ldap.ldapconn.host=server.example.com
auths.instance.SharedToken.ldap.ldapconn.port=636
auths.instance.SharedToken.ldap.ldapconn.secureConn=true
auths.instance.SharedToken.ldap.ldapconn.version=3
auths.instance.SharedToken.ldap.maxConns=
auths.instance.SharedToken.ldap.minConns=
auths.instance.SharedToken.ldapByteAttributes=
auths.instance.SharedToken.ldapStringAttributes=
auths.instance.SharedToken.pluginName=SharedToken
auths.instance.SharedToken.shrTokAttr=shrTok
  5. /var/lib/pki/instance_name/ca/conf/CS.cfg 文件中设置 ca.cert.issuance_protection. nickname 参数中的 RSA issuance 保护证书的 nickname。例如: 
    ca.cert.issuance_protection.nickname=issuance_protection_certificate
    此步骤是:
    • 如果您在 ca.cert.subsystem.nickname 参数中使用 RSA 证书,可选。
    • 如果您在 ca.cert.subsystem.nickname 参数中使用 ECC 证书,则需要此项。
    重要
    如果没有设置 ca.cert.issuance_protection.nickname 参数,证书系统将自动使用 ca.cert.subsystem.nickname 中指定的子系统的证书。但是,颁发保护证书必须是 RSA 证书。
  6. 重启证书系统: 
    # systemctl restart pki-tomcatd@instance_name.service
    当 CA 启动时,证书系统会提示输入 Shared Token 插件使用的 LDAP 密码。
  7. 如果在此流程开始时临时禁用了 watchdog 服务,请重新启用该服务。请参阅 第 14.3.2.1 节 “启用 Watchdog 服务”

14.8.4. 为 Web 用户界面启用 CMCRevoke

Red Hat Certificate System Administration Guide 中的 执行 CMC Revocation 部分所述,可以通过两种方式提交 CMC 吊销请求。
在使用 CMCRevoke 实用程序创建通过 Web UI 提交的撤销请求时,请将以下设置添加到 /var/lib/pki/instance_name/ca/conf/CS.cfg 文件中: 
cmc.bypassClientAuth=true