附录 C. 发布模块参考

使用证书管理器默认配置几个发布器、映射程序和规则模块。

C.1. Communityly 插件模块

本节介绍了为证书管理器提供的发布模块。模块供证书管理器用来启用和配置特定的发布程序实例。

C.1.1. FileBasedPublisher

FilebasedPublisher 插件模块配置证书管理器,以将证书和 CRL 发布到文件。此插件可以根据配置发布发布发布器时所选择的复选框,发布 base-64 编码文件、DER 编码文件或两者。可以使用 PrettyPrintCertPrettyPrintCRL 工具转换文件来查看证书和 CRL 内容。有关查看 base-64 和 DER 编码证书和 CRL 中的内容的详情,请参考 第 8.11 节 “查看证书和 CRLs 发布到文件”
默认情况下,证书管理器不会创建 FileBasedPublisher 模块的实例。

表 C.1. FileBasedPublisher 配置参数

参数 描述
发布程序 ID 指定 publisher 的名称,它是一个没有空格的字母数字字符串。例如,PublishCertsToFile
目录 指定证书管理器创建文件的目录的完整路径 ; 路径可以是绝对路径,或者可以相对于证书证书系统及证书实例目录。例如: /export/CS/certificates

C.1.2. LdapCaCertPublisher

LdapCaCertPublisher 插件模块将证书管理器配置为发布或取消将 CA 证书发布到 CA 目录条目的 caCertificate;binary 属性。
模块将 CA 条目的对象类转换为 pkiCACertifiedAuthority (如果尚未使用)。同样,如果 CA 没有其他证书,它也会删除 pkiCAcertificationAuthority 对象类。
在安装过程中,证书管理器会自动创建 LdapCaCertPublisher 模块的实例,用于将 CA 证书发布到该目录。

表 C.2. LdapCaCertPublisher Configuration Parameters

参数 描述
caCertAttr 指定要发布 CA 证书的 LDAP 目录属性。这必须是 caCertificate;binary
caObjectClass 指定 目录中 CA 条目的对象类。这必须是 pkiCACertificationAuthority

C.1.3. LdapUserCertPublisher

LdapUserCertPublisher 插件模块将证书管理器配置为发布或取消将用户证书发布到 用户Certificate;binary 属性的用户目录条目。
此模块用于将任何最终用户证书发布到 LDAP 目录。最终用户证书的类型包括 SSL 客户端、S/MIME、SSL 服务器和 OCSP 响应程序。
在安装过程中,证书管理器自动创建一个 LdapUserCertPublisher 模块实例,用于将终端证书发布到该目录。

表 C.3. LdapUserCertPublisher Configuration Parameters

参数 描述
certAttr 指定证书管理器应发布证书的映射条目的目录属性。这必须是 userCertificate;binary

C.1.4. LdapCrlPublisher

LdapCrlPublisher 插件模块将证书管理器配置为发布或取消将 CRL 发布到目录条目的 certificateRevocationList;binary 属性。
在安装过程中,证书管理器自动创建一个 LdapCrlPublisher 模块的实例,用于将 CRL 发布到该目录。

表 C.4. LdapCrlPublisher 配置参数

参数 描述
crlAttr 指定证书管理器应发布 CRL 的映射条目的目录属性。这必须是 certificateRevocationList;binary

C.1.5. LdapDeltaCrlPublisher

LdapDeltaCrlPublisher 插件模块将证书管理器配置为发布或取消将 delta CRL deltaRevocationList 属性发布到目录条目的 deltaRevocationList 属性。
在安装过程中,证书管理器自动创建一个 LdapDeltaCrlPublisher 模块的实例,用于将 CRL 发布到该目录。

表 C.5. LdapDeltaCrlPublisher Configuration Parameters

参数 描述
crlAttr 指定证书管理器应发布 delta CRL 的映射条目的目录属性。这必须是 deltaRevocationList;binary

C.1.6. LdapCertificatePairPublisher

LdapCertificatePairPublisher 插件模块将证书管理器配置为发布或取消将跨签名证书发布到 CA 目录条目的 crossCertPair;binary 属性。
该模块还将 CA 条目的对象类转换为 pkiCAcertificationAuthority (如果尚未使用)。同样,如果 CA 没有其他证书,它也会删除 pkiCAcertificationAuthority 对象类。
在安装过程中,证书管理器自动创建一个 LdapCertificatePairPublisher 模块实例,名为 LdapCrossCertPairPublisher 将跨证书发布到该目录。

表 C.6. LdapCertificatePairPublisher Parameters

参数 描述
crossCertPairAttr 指定要发布 CA 证书的 LDAP 目录属性。这必须 跨CertificatePair;binary
caObjectClass 指定 目录中 CA 条目的对象类。这必须是 pkiCACertificationAuthority

C.1.7. OCSPPublisher

OCSPPublisher 插件模块将证书管理器配置为发布其 CRL,并将其 CRL 发布到在线证书 Status Manager。
证书管理器不会在安装时创建 OCSPPublisher 模块的任何实例。

表 C.7. OCSPPublisher 参数

参数 描述
主机 指定在线证书状态管理器的完全限定主机名。
port 指定在线证书状态管理器正在侦听证书管理器的端口号。这是在线证书状态管理器的 SSL 端口号。
path 指定发布 CRL 的路径。这必须是默认路径 /ocsp/agent/ocsp/addCRL
enableClientAuth 设定是否使用客户端(基于证书的)验证来访问 OCSP 服务。
nickname 在 OCSP 服务数据库中指定证书的 nickname 用于客户端身份验证。只有在 enableClientAuth 选项被设置为 true 时才使用。