14.8. CMC 的配置
这部分论述了如何通过 CMS (CMC)为证书管理配置证书系统。
14.8.1. 了解 CMC 的工作方式
在配置 CMC 前,请阅读以下文档以了解更多有关主题的信息:
14.8.2. 启用 PopLinkWittnessV2
功能
对于证书颁发机构(CA)上的高级别安全性,请在
/var/lib/pki/instance_name/ca/conf/CS.cfg
文件中启用以下选项:
cmc.popLinkWitnessRequired=true
14.8.3. 启用 CMC 共享 Secret 功能
在证书颁发机构(CA)中启用共享令牌功能:
- 如果主机上启用了 watchdog 服务,请临时禁用该服务。请参阅 第 14.3.2.4 节 “禁用 Watchdog 服务”。
- 将
shrTok
属性添加到目录服务器的 schema 中:# ldapmodify -D "cn=Directory Manager" -H ldaps://server.example.com:636 -W -x dn: cn=schema changetype: modify add: attributetypes attributetypes: ( 2.16.840.1.117370.3.1.123 NAME 'shrTok' DESC 'User Defined ObjectClass for SharedToken' SYNTAX 1.3.6.1.4.1.1466.115.121.1.40 SINGLE-VALUE X-ORIGIN 'custom for sharedToken')
- 如果系统密钥存储在硬件安全模块(HSM)上,请在
/var/lib/pki/instance_name/ca/conf/CS.cfg
文件中设置cmc.token
参数。例如:cmc.token=NHSM-CONN-XC
- 使用以下方法之一启用共享令牌身份验证插件:
- 注意
pkiconsole
已被弃用。使用pkiconsole
工具启用插件:- 使用
pkiconsole
工具登录到系统。例如:# pkiconsole https:host.example.com:8443/ca
- 在 Configuration 选项卡中,选择 Authentication。
- 点 Add 并选择 SharedToken。
- 点 Next。
- 输入以下信息:
Authentication InstanceID=SharedToken shrTokAttr=shrTok ldap.ldapconn.host=server.example.com ldap.ldapconn.port=636 ldap.ldapconn.secureConn=true ldap.ldapauth.bindDN=cn=Directory Manager password=password ldap.ldapauth.authtype=BasicAuth ldap.basedn=ou=People,dc=example,dc=org
- 点确定。
- 要手动启用插件,请在
/var/lib/pki/instance_name/ca/conf/CS.cfg
文件中添加以下设置:auths.impl.SharedToken.class=com.netscape.cms.authentication.SharedSecret auths.instance.SharedToken.dnpattern= auths.instance.SharedToken.ldap.basedn=ou=People,dc=example,dc=org auths.instance.SharedToken.ldap.ldapauth.authtype=BasicAuth auths.instance.SharedToken.ldap.ldapauth.bindDN=cn=Directory Manager auths.instance.SharedToken.ldap.ldapauth.bindPWPrompt=Rule SharedToken auths.instance.SharedToken.ldap.ldapauth.clientCertNickname= auths.instance.SharedToken.ldap.ldapconn.host=server.example.com auths.instance.SharedToken.ldap.ldapconn.port=636 auths.instance.SharedToken.ldap.ldapconn.secureConn=true auths.instance.SharedToken.ldap.ldapconn.version=3 auths.instance.SharedToken.ldap.maxConns= auths.instance.SharedToken.ldap.minConns= auths.instance.SharedToken.ldapByteAttributes= auths.instance.SharedToken.ldapStringAttributes= auths.instance.SharedToken.pluginName=SharedToken auths.instance.SharedToken.shrTokAttr=shrTok
- 在
/var/lib/pki/instance_name/ca/conf/CS.cfg 文件中设置
参数中的 RSA issuance 保护证书的 nickname。例如:ca.cert.issuance_protection.
nicknameca.cert.issuance_protection.nickname=issuance_protection_certificate
此步骤是:- 如果您在
ca.cert.subsystem.nickname
参数中使用 RSA 证书,可选。 - 如果您在
ca.cert.subsystem.nickname
参数中使用 ECC 证书,则需要此项。
重要如果没有设置ca.cert.issuance_protection.nickname
参数,证书系统将自动使用ca.cert.subsystem.nickname
中指定的子系统的证书。但是,颁发保护证书必须是 RSA 证书。 - 重启证书系统:
# systemctl restart pki-tomcatd@instance_name.service
当 CA 启动时,证书系统会提示输入 Shared Token 插件使用的 LDAP 密码。 - 如果在此流程开始时临时禁用了 watchdog 服务,请重新启用该服务。请参阅 第 14.3.2.1 节 “启用 Watchdog 服务”。
14.8.4. 为 Web 用户界面启用 CMCRevoke
如 Red Hat Certificate System Administration Guide 中的 执行 CMC Revocation 部分所述,可以通过两种方式提交 CMC 吊销请求。
在使用
CMCRevoke
实用程序创建通过 Web UI 提交的撤销请求时,请将以下设置添加到 /var/lib/pki/instance_name/ca/conf/CS.cfg
文件中:
cmc.bypassClientAuth=true