8.5. 创建规则
规则决定了在什么位置发布哪些证书对象。规则可以独立工作,而不是以 tandem 工作。正在发布的证书或 CRL 与任何规则都匹配。任何与之匹配的规则都会被激活。这样,可以将相同的证书或 CRL 发布到文件、在线证书状态管理器以及通过匹配基于文件的规则、OCSP 规则并匹配基于目录的规则来发布到 LDAP 目录。
可以为每个对象类型设置规则: CA 证书、CRL、用户证书和跨对证书。这些规则对不同类型的证书或不同种类的 CRL 更为详细。
规则首先确定对象是否与规则中设置的类型和 predicate 匹配。发布匹配对象的位置由与该规则关联的发布程序和映射程序决定。
针对证书管理器问题,创建每种类型的规则。
通过执行以下操作修改发布规则:
- 登录到证书管理器控制台。
pkiconsole https://server.example.com:8443/ca
- 在 Configuration 选项卡中,从左侧的导航树中选择 Certificate Manager。选择 发布,然后选择 Rules。Rules Management 标签页(列出配置的规则)在右侧打开。
- 要编辑现有规则,请从列表中选择该规则,然后点 。这将打开 Rule Editor 窗口。
- 要创建规则,请单击 。这将打开 Select Rule Plug-in Implementation 窗口。
选择 Rule 模块。这是唯一默认模块。如果已经注册了任何自定义模块,它们也会可用。 - 编辑规则。
- 键入。这是规则适用的证书类型。对于 CA 签名证书,值为 cacert。对于跨签名证书,值为 xcert。对于所有其他证书类型,值为 certs。对于 CRLs,指定 crl。
- predicate.这为规则应用到的证书或 CRL 发出类型设置 predicate 值。CRL 发出点、delta CRL 和证书的 predicate 值列在 表 8.3 “predicate 表达式” 中。
- 启用。
- 映射器.发布到文件时不需要映射程序,只有 LDAP 发布版需要它们。如果此规则与发布到 LDAP 目录的发布者关联,请在这里选择一个适当的映射程序。所有其他形式的发布留空。
- 发布程序.将发布程序设置为与该规则关联。
表 8.3 “predicate 表达式” 列出可用于识别 CRL 发出点和 delta CRLs 和证书配置集的 predicates。
表 8.3. predicate 表达式
| predicate 类型 | predicate |
|---|---|
| CRL 签发点 |
issuingPointId==Issuing_Point_Instance_ID && isDeltaCRL==[true|false]
要只发布 master CRL,设置为DeltaCRL==false。要只发布 delta CRL,请设置 DeltaCRL==true。要发布这两个情况,请为 master CRL 以及 delta CRL 中的一个规则设置一个规则。
|
| 证书配置集 |
profileId==profile_name
要根据用来发布它们的配置集发布证书,请将 profileId== 设置为配置集名称,如 caServerCert。
|
