C.2. 映射器插件模块

本节介绍为证书管理器提供的 mapper 插件模块。这些模块将证书管理器配置为启用和配置特定的映射程序实例。
可用的 mapper 插件模块包括:

C.2.1. LdapCaSimpleMap

LdapCaSimpleMap 插件模块配置了一个证书管理器,以在 LDAP 目录中为 CA 创建条目,然后通过将 CA 的证书映射到目录条目。有关 AVAs 的更多信息,请查看目录文档。
CA 证书映射程序指定是否为 CA 创建条目,将证书映射到现有条目,还是同时执行两者。
如果发布目录中已存在 CA 条目,且分配给此映射程序的 dnPattern 参数的值会被改变,但 uido 属性相同,mapper 将无法创建第二个 CA 条目。例如,如果目录已经有 uid=CA,ou=Marketing,o=example.com 和 mapper 的 CA 条目,则使用 uid=CA,ou=Engineering,o=example.com 创建另一个 CA 条目。
操作可能会失败,因为目录会将 UID 唯一性插件设置为特定的基本 DN。此设置可防止目录具有该基本 DN 下相同 UID 的两个条目。在本例中,它会阻止目录在 o=example.com 下具有两个条目,它们具有相同的 UID CA
如果映射程序无法创建第二个 CA 条目,请检查设置 UID 唯一插件的基本 DN,并检查目录中是否存在具有相同 UID 的条目。如有必要,调整 mapper 设置,删除旧 CA 条目,注释掉插件,或者手动创建该条目。
在安装过程中,证书管理器会自动创建 CA 证书映射程序模块的两个实例。映射器的名称如下:

表 C.8. LdapCaSimpleMap 配置参数

参数 描述
createCAEntry
创建 CA 的条目(如果选择)(默认)。
如果选中,证书管理器首先会尝试为 目录中的 CA 创建条目。如果在创建条目时证书管理器成功,它将尝试将 CA 的证书发布到该条目。如果未选中此项,则条目必须已存在,才能发布此条目供其发布。
dnPattern
指定证书管理器应使用的 DN 模式来构造用于在发布目录中搜索 CA 的条目。dnPattern 的值可以是用逗号分开的 AVAs 列表。AVA 可以是一个变量,如 cn=$subj.cn,证书管理器可以从证书主题名称或恒定名称(如 o=Example Corporation )生成。
如果 CA 证书在主题名称中没有 cn 组件,请调整 CA 证书映射 DN 模式,以反映 CA 证书正在发布的目录中的 DN。例如,如果 CA 证书 subject DN 是 o=Example Corporation,且该目录中的 CA 条目是 cn=Certificate Authority, o=Example Corporation,则特征是 cn=Certificate Authority, o=$subj.o
  • 示例 1: uid=CertMgr, o=Example Corporation
  • 示例 2: cn=$subj.cn,ou=$subj.ou,o=$subj.o,c=US
  • 示例 3: uid=$req.HTTP_PARAMS.uid, e=$ext.SubjectAlternativeName.RFC822Name,ou=$subj.ou
在上面的示例中,$req 从证书请求中获取属性,$subj 从证书主题名称中获取属性,而 $ext 则从证书扩展中获取属性。

C.2.1.1. LdapCaCertMap

LdapCaCertMap mapper 是 LdapCaSimpleMap 模块的实例。证书管理器在安装过程中自动创建此映射程序。
此映射映射程序在 目录中为 CA 创建一个条目,并将 CA 证书映射到 目录中的 CA 条目。
默认情况下,映射程序配置为在 目录中为 CA 创建条目,用于查找 CA 条目的默认 DN 模式如下: 
uid=$subj.cn,ou=people,o=$subj.o

C.2.1.2. LdapCrlMap

LdapCrlMap mapper 是 LdapCaSimpleMap 模块的实例。证书管理器在安装过程中自动创建此映射程序。
此映射映射程序在 目录中为 CA 创建一个条目,并将 CRL 映射到 目录中的 CA 条目。
默认情况下,映射程序配置为在 目录中为 CA 创建条目。查找 CA 条目的默认 DN 模式如下: 
uid=$subj.cn,ou=people,o=$subj.o