Jump To Close Expand all Collapse all Table of contents 管理指南 1. Red Hat Certificate Systemnbsp 概述;Hat Certificate Red Hat Certificate Systemnbsp;System Subsystems Expand section "1. Red Hat Certificate Systemnbsp 概述;Hat Certificate Red Hat Certificate Systemnbsp;System Subsystems" Collapse section "1. Red Hat Certificate Systemnbsp 概述;Hat Certificate Red Hat Certificate Systemnbsp;System Subsystems" 1.1. 使用证书 1.2. CertificateCertificate Systemnbsp 的评论;系统 子系统 1.3. 查看管理证书(Non-TMS) 1.4. 查看令牌管理系统(TMS) 1.5. RedRed Hat Certificate Systemnbsp;Hat CertificateRed Hat Certificate Systemnbsp;System services I. Red Hat Certificate System User Interfaces Expand section "I. Red Hat Certificate System User Interfaces" Collapse section "I. Red Hat Certificate System User Interfaces" 2. 用户界面 Expand section "2. 用户界面" Collapse section "2. 用户界面" 2.1. 用户界面概述 2.2. 客户端 NSS 数据库初始化 2.3. 图形界面 Expand section "2.3. 图形界面" Collapse section "2.3. 图形界面" 2.3.1. pkiconsole complete 2.3.2. 将 pkiconsole 用于 CA、OCSP、KRA 和 TKS Subsystems 2.4. Web 界面 Expand section "2.4. Web 界面" Collapse section "2.4. Web 界面" 2.4.1. 浏览器初始化 2.4.2. 管理接口 2.4.3. 代理接口 2.4.4. 最终用户页面 2.5. 命令行界面 Expand section "2.5. 命令行界面" Collapse section "2.5. 命令行界面" 2.5.1. "pki" CLI Expand section "2.5.1. "pki" CLI" Collapse section "2.5.1. "pki" CLI" 2.5.1.1. pki CLI initialization 2.5.1.2. Using "pki" CLI 2.5.2. AtoB 2.5.3. AuditVerify 2.5.4. BtoA 2.5.5. CMCRequest 2.5.6. CMCRevoke 2.5.7. CMCSharedToken 2.5.8. CRMFPopClient 2.5.9. HttpClient 2.5.10. OCSPClient 2.5.11. PKCS10Client 2.5.12. PrettyPrintCert 2.5.13. PrettyPrintCrl 2.5.14. TokenInfo 2.5.15. tkstool 2.6. Enterprise 安全客户端 II. 设置证书服务 Expand section "II. 设置证书服务" Collapse section "II. 设置证书服务" 3. 制作发行证书规则(证书配置文件) Expand section "3. 制作发行证书规则(证书配置文件)" Collapse section "3. 制作发行证书规则(证书配置文件)" 3.1. 关于证书配置集 Expand section "3.1. 关于证书配置集" Collapse section "3.1. 关于证书配置集" 3.1.1. 注册配置集 3.1.2. 证书扩展:默认和限制 3.1.3. 输入和输出 3.2. 设置证书配置集 Expand section "3.2. 设置证书配置集" Collapse section "3.2. 设置证书配置集" 3.2.1. 使用 PKI 命令行界面管理证书注册配置集 Expand section "3.2.1. 使用 PKI 命令行界面管理证书注册配置集" Collapse section "3.2.1. 使用 PKI 命令行界面管理证书注册配置集" 3.2.1.1. 启用和禁用证书配置集 3.2.1.2. 以 Raw 格式创建证书配置集 3.2.1.3. 使用 Raw 格式编辑证书配置文件 3.2.1.4. 删除证书配置集 3.2.2. 使用基于 Java 的管理控制台管理证书注册配置集 Expand section "3.2.2. 使用基于 Java 的管理控制台管理证书注册配置集" Collapse section "3.2.2. 使用基于 Java 的管理控制台管理证书注册配置集" 3.2.2.1. 通过 CA 控制台创建证书配置集 3.2.2.2. 在控制台中编辑证书配置集 3.2.3. 列出证书注册配置集 3.2.4. 显示证书注册配置集详情 3.3. 在配置集中定义密钥默认值 3.4. 配置配置集以启用续订 Expand section "3.4. 配置配置集以启用续订" Collapse section "3.4. 配置配置集以启用续订" 3.4.1. 使用 Same Key 续订 3.4.2. 使用新密钥续订 3.5. 为证书设置签名算法 Expand section "3.5. 为证书设置签名算法" Collapse section "3.5. 为证书设置签名算法" 3.5.1. 设置 CA 的默认签名算法 3.5.2. 在配置集中设置 Signing Algorithm Default 3.6. 管理 CA-Related 配置集 Expand section "3.6. 管理 CA-Related 配置集" Collapse section "3.6. 管理 CA-Related 配置集" 3.6.1. 在 CA 证书中设置限制 3.6.2. 在签发者证书上更改 CA 的限制 3.6.3. 使用 Random 证书串行号 Expand section "3.6.3. 使用 Random 证书串行号" Collapse section "3.6.3. 使用 Random 证书串行号" 3.6.3.1. 启用 Random 证书串行数 3.6.4. 允许 CA 证书续订 CA 有效期期 3.7. 管理主题名称和主题备用名称 Expand section "3.7. 管理主题名称和主题备用名称" Collapse section "3.7. 管理主题名称和主题备用名称" 3.7.1. 在 Subject Name 中使用 Requester CN 或 UID 3.7.2. 在 Subject Alt Name 中插入 LDAP 目录属性值和其他信息 3.7.3. 使用 SAN 扩展中的 CN 属性 3.7.4. 接受 CSR 的 SAN 扩展 Expand section "3.7.4. 接受 CSR 的 SAN 扩展" Collapse section "3.7.4. 接受 CSR 的 SAN 扩展" 3.7.4.1. 将配置文件配置为来自 CSR 的检索 SAN 3.7.4.2. 使用 SAN 生成 CSR 4. 设置密钥存档和恢复 Expand section "4. 设置密钥存档和恢复" Collapse section "4. 设置密钥存档和恢复" 4.1. 在控制台中配置代理验证密钥恢复 4.2. 测试密钥存档和恢复设置 5. 请求、注册和管理证书 Expand section "5. 请求、注册和管理证书" Collapse section "5. 请求、注册和管理证书" 5.1. 关于注册和续订证书 5.2. 创建证书签名请求 Expand section "5.2. 创建证书签名请求" Collapse section "5.2. 创建证书签名请求" 5.2.1. 使用命令行工具生成 CSR Expand section "5.2.1. 使用命令行工具生成 CSR" Collapse section "5.2.1. 使用命令行工具生成 CSR" 5.2.1.1. 使用 certutil创建 CSR Expand section "5.2.1.1. 使用 certutil创建 CSR" Collapse section "5.2.1.1. 使用 certutil创建 CSR" 5.2.1.1.1. 使用 certutil 创建带有 EC 密钥的 CSR 5.2.1.1.2. 使用 certutil 使用用户定义的扩展来创建 CSR 5.2.1.2. 使用 PKCS10Client创建 CSR Expand section "5.2.1.2. 使用 PKCS10Client创建 CSR" Collapse section "5.2.1.2. 使用 PKCS10Client创建 CSR" 5.2.1.2.1. 使用 PKCS10Client 创建 CSR 5.2.1.2.2. 使用 PKCS10Client 为基于 SharedSecret 的 CMC 创建 CSR 5.2.1.3. 使用 CRMFPopClient创建 CSR Expand section "5.2.1.3. 使用 CRMFPopClient创建 CSR" Collapse section "5.2.1.3. 使用 CRMFPopClient创建 CSR" 5.2.1.3.1. 使用 CRMFPopClient 创建带有密钥 Archival 的 CSR 5.2.1.3.2. 使用 CRMFPopClient 为基于 SharedSecret 的 CMC 创建 CSR 5.2.1.4. 在 PKI CLI 中使用 client-cert-request 创建 CSR 5.2.2. 使用服务器侧密钥生成 CSR Expand section "5.2.2. 使用服务器侧密钥生成 CSR" Collapse section "5.2.2. 使用服务器侧密钥生成 CSR" 5.2.2.1. 功能亮点 5.2.2.2. 使用服务器侧密钥注册证书 5.2.2.3. 密钥恢复 5.2.2.4. 其它信息 Expand section "5.2.2.4. 其它信息" Collapse section "5.2.2.4. 其它信息" 5.2.2.4.1. KRA Request Records 5.2.2.4.2. 审计记录 5.3. 配置 Internet Explorer 以注册证书 Expand section "5.3. 配置 Internet Explorer 以注册证书" Collapse section "5.3. 配置 Internet Explorer 以注册证书" 5.3.1. 关于关键限制和 Internet Explorer 5.3.2. 配置 Internet Explorer 5.4. 请求和接收证书 Expand section "5.4. 请求和接收证书" Collapse section "5.4. 请求和接收证书" 5.4.1. 通过"最终用户"页面请求并接收证书 5.5. 续订证书 Expand section "5.5. 续订证书" Collapse section "5.5. 续订证书" 5.5.1. 相同的密钥续订 Expand section "5.5.1. 相同的密钥续订" Collapse section "5.5.1. 相同的密钥续订" 5.5.1.1. 重新使用 CSR Expand section "5.5.1.1. 重新使用 CSR" Collapse section "5.5.1.1. 重新使用 CSR" 5.5.1.1.1. 代理(Approved)或基于目录的续订 5.5.1.1.2. 基于证书的续订 5.5.1.2. 通过使用相同密钥生成 CSR 续订 5.5.2. 通过重新加密证书进行续订 5.6. 使用 CMC 提交证书请求 Expand section "5.6. 使用 CMC 提交证书请求" Collapse section "5.6. 使用 CMC 提交证书请求" 5.6.1. 使用 CMC 注册 Expand section "5.6.1. 使用 CMC 注册" Collapse section "5.6.1. 使用 CMC 注册" 5.6.1.1. 测试 CMCEnroll 5.6.2. CMC 注册过程 5.6.3. 实际 CMC 注册方案 Expand section "5.6.3. 实际 CMC 注册方案" Collapse section "5.6.3. 实际 CMC 注册方案" 5.6.3.1. 获取系统和服务器证书 5.6.3.2. 获取用户的第一个签名证书 Expand section "5.6.3.2. 获取用户的第一个签名证书" Collapse section "5.6.3.2. 获取用户的第一个签名证书" 5.6.3.2.1. 使用代理证书签名 CMC 请求 5.6.3.2.2. 使用共享 Secret 对证书注册进行身份验证 5.6.3.3. 为用户获取仅限加密的证书 Expand section "5.6.3.3. 为用户获取仅限加密的证书" Collapse section "5.6.3.3. 为用户获取仅限加密的证书" 5.6.3.3.1. 使用密钥 Archival 的只加密证书示例 5.7. 执行大量问题 5.8. 在 Cisco Router 上注册证书 Expand section "5.8. 在 Cisco Router 上注册证书" Collapse section "5.8. 在 Cisco Router 上注册证书" 5.8.1. 启用 SCEP 注册 5.8.2. 配置 SCEP 安全设置 5.8.3. 配置路由器进行服务注册 5.8.4. 为路由器生成 SCEP 证书 5.8.5. 使用从属 CA 5.8.6. 重新注册路由器 5.8.7. 启用调试 5.8.8. 使用 SCEP 发出 ECC 证书 6. 使用并配置令牌管理系统:TPS 和 TKS Expand section "6. 使用并配置令牌管理系统:TPS 和 TKS" Collapse section "6. 使用并配置令牌管理系统:TPS 和 TKS" 6.1. TPS 配置集 6.2. TPS 操作 6.3. 令牌策略 6.4. 令牌操作和策略处理 6.5. 内部注册 6.6. 外部注册 Expand section "6.6. 外部注册" Collapse section "6.6. 外部注册" 6.6.1. 启用外部注册 6.6.2. 自定义用户 LDAP 记录属性名称 6.6.3. 配置 certsToAdd 属性 6.6.4. 用户匹配强制的令牌 6.6.5. 委托支持 6.6.6. SAN 和 DN 模式 6.7. 映射解析器配置 Expand section "6.7. 映射解析器配置" Collapse section "6.7. 映射解析器配置" 6.7.1. key Set Mapping Resolver 6.7.2. 令牌类型(TPS)Mapping Resolver 6.8. 身份验证配置 6.9. 连接器 6.10. 撤销路由配置 6.11. 设置服务器端密钥生成 6.12. 设置新密钥设置 6.13. 设置新主密钥 Expand section "6.13. 设置新主密钥" Collapse section "6.13. 设置新主密钥" 6.13.1. 生成和传输主密钥(主要 Ceremony) 6.14. 设置 TKS/TPS Shared Symmetric Key Expand section "6.14. 设置 TKS/TPS Shared Symmetric Key" Collapse section "6.14. 设置 TKS/TPS Shared Symmetric Key" 6.14.1. 手动生成和传输共享统计密钥 6.15. 将不同的 Applets 用于不同的 SCP 版本 7. 撤销证书和发布 CRL Expand section "7. 撤销证书和发布 CRL" Collapse section "7. 撤销证书和发布 CRL" 7.1. 关于撤销证书 Expand section "7.1. 关于撤销证书" Collapse section "7.1. 关于撤销证书" 7.1.1. 用户初始化的调用 7.1.2. 撤销证书的原因 7.1.3. CRL 签发点 7.1.4. Delta CRLs 7.1.5. 发布 CRL 7.1.6. 证书调用页 7.2. 执行 CMC Revocation Expand section "7.2. 执行 CMC Revocation" Collapse section "7.2. 执行 CMC Revocation" 7.2.1. 使用 CMCRequest撤销证书 7.2.2. 使用 CMCRevoke撤销证书 Expand section "7.2.2. 使用 CMCRevoke撤销证书" Collapse section "7.2.2. 使用 CMCRevoke撤销证书" 7.2.2.1. 测试 CMCRevoke 7.3. 发出 CRL Expand section "7.3. 发出 CRL" Collapse section "7.3. 发出 CRL" 7.3.1. 配置发行得分 7.3.2. 为每个发行点配置 CRL 7.3.3. 设置 CRL 扩展 7.3.4. 将 CA 设置为使用其他证书来签名 CRL 7.3.5. 从缓存生成 CRL Expand section "7.3.5. 从缓存生成 CRL" Collapse section "7.3.5. 从缓存生成 CRL" 7.3.5.1. 在控制台中配置 CRL Generation from Cache 7.3.5.2. 在 CS.cfg 中配置 CRL Generation from Cache 7.4. 设置 Full 和 Delta CRL Schedules Expand section "7.4. 设置 Full 和 Delta CRL Schedules" Collapse section "7.4. 设置 Full 和 Delta CRL Schedules" 7.4.1. 在控制台中配置 CRL 更新间隔 7.4.2. 为 CS.cfg 中的 CRL 配置更新间隔 7.4.3. 在多天配置 CRL Generation Schedules 7.5. 启用撤销检查 7.6. 使用在线证书状态协议(OCSP)响应 Expand section "7.6. 使用在线证书状态协议(OCSP)响应" Collapse section "7.6. 使用在线证书状态协议(OCSP)响应" 7.6.1. 设置 OCSP Responder 7.6.2. 将 CA 识别到 OCSP Responder Expand section "7.6.2. 将 CA 识别到 OCSP Responder" Collapse section "7.6.2. 将 CA 识别到 OCSP Responder" 7.6.2.1. 验证证书管理器和在线证书状态管理器连接 7.6.2.2. 配置 Revocation Info Stores: Internal Database 7.6.2.3. 配置 Revocation Info Stores: LDAP Directory 7.6.2.4. 测试 OCSP 服务设置 7.6.3. 为 Bad Serial Numbers 设置响应 7.6.4. 启用证书管理器的内部 OCSP 服务 7.6.5. 使用 OCSPClient 程序提交 OCSP 请求 7.6.6. 使用 GET 方法提交 OCSP 请求 7.6.7. 为证书证书系统主任设置重定向:System 7.1 和 Earlier III. 管理 CA 服务的其他配置 Expand section "III. 管理 CA 服务的其他配置" Collapse section "III. 管理 CA 服务的其他配置" 8. 发布证书和 CRL Expand section "8. 发布证书和 CRL" Collapse section "8. 发布证书和 CRL" 8.1. 关于发布 Expand section "8.1. 关于发布" Collapse section "8.1. 关于发布" 8.1.1. publishers 8.1.2. 映射程序 8.1.3. 规则 8.1.4. 发布到文件 8.1.5. OCSP 发布 8.1.6. LDAP 发布 8.2. 配置发布到文件 8.3. 配置发布到 OCSP Expand section "8.3. 配置发布到 OCSP" Collapse section "8.3. 配置发布到 OCSP" 8.3.1. 启用通过客户端身份验证发布到 OCSP 8.4. 配置发布到 LDAP 目录 Expand section "8.4. 配置发布到 LDAP 目录" Collapse section "8.4. 配置发布到 LDAP 目录" 8.4.1. 配置 LDAP 目录 8.4.2. 配置 LDAP 发布程序 8.4.3. 创建映射程序 8.4.4. 完成配置:规则并启用 8.5. 创建规则 8.6. 启用发布 8.7. 启用发布队列 8.8. 设置恢复 CRL 下载 Expand section "8.8. 设置恢复 CRL 下载" Collapse section "8.8. 设置恢复 CRL 下载" 8.8.1. 使用 wget 检索 CRL 8.9. 发布跨Pair 证书 8.10. 测试发布到文件 8.11. 查看证书和 CRLs 发布到文件 8.12. 更新目录中的证书和 CRL Expand section "8.12. 更新目录中的证书和 CRL" Collapse section "8.12. 更新目录中的证书和 CRL" 8.12.1. 手动更新目录中的证书 8.12.2. 手动更新目录中的 CRL 8.13. 注册自定义映射程序和发布程序插件模块 9. 注册证书的身份验证 Expand section "9. 注册证书的身份验证" Collapse section "9. 注册证书的身份验证" 9.1. 配置代理(Approved Enrollment) 9.2. 自动注册 Expand section "9.2. 自动注册" Collapse section "9.2. 自动注册" 9.2.1. 设置基于目录的身份验证 9.2.2. 设置基于 PIN 的注册 9.2.3. 使用基于证书的验证 9.2.4. 配置平面文件身份验证 Expand section "9.2.4. 配置平面文件身份验证" Collapse section "9.2.4. 配置平面文件身份验证" 9.2.4.1. 配置 flatFileAuth 模块 9.2.4.2. 编辑 flatfile.txt 9.3. CMC 身份验证插件 9.4. CMC SharedSecret 身份验证 Expand section "9.4. CMC SharedSecret 身份验证" Collapse section "9.4. CMC SharedSecret 身份验证" 9.4.1. 创建共享 secret 令牌 9.4.2. 设置 CMC 共享 Secret Expand section "9.4.2. 设置 CMC 共享 Secret" Collapse section "9.4.2. 设置 CMC 共享 Secret" 9.4.2.1. 将 CMC 共享 Secret 添加到用于证书注册的用户条目 9.4.2.2. 将 CMC 共享 Secret 添加到证书撤销的证书 9.5. 测试注册 9.6. 注册自定义身份验证插件 9.7. 使用命令行手动检查证书状态 9.8. 使用 Web 界面手动检查证书状态 10. 注册证书授权(访问 Evaluators) Expand section "10. 注册证书授权(访问 Evaluators)" Collapse section "10. 注册证书授权(访问 Evaluators)" 10.1. 授权机制 10.2. 默认评估器 11. 使用自动通知 Expand section "11. 使用自动通知" Collapse section "11. 使用自动通知" 11.1. 关于 CA 自动通知 Expand section "11.1. 关于 CA 自动通知" Collapse section "11.1. 关于 CA 自动通知" 11.1.1. 自动通知的类型 11.1.2. 确定最终用户地址 11.2. 为 CA 设置自动通知 Expand section "11.2. 为 CA 设置自动通知" Collapse section "11.2. 为 CA 设置自动通知" 11.2.1. 在控制台中设置自动通知 11.2.2. 通过编辑 CS.cfg 文件配置特定通知 11.2.3. 测试配置 11.3. 自定义通知消息 Expand section "11.3. 自定义通知消息" Collapse section "11.3. 自定义通知消息" 11.3.1. 自定义 CA 通知消息 11.4. 为证书证书系统配置邮件服务器; 系统通知 11.5. 为 CA 创建自定义通知 12. 设置自动化任务 Expand section "12. 设置自动化任务" Collapse section "12. 设置自动化任务" 12.1. 关于自动任务 Expand section "12.1. 关于自动任务" Collapse section "12.1. 关于自动任务" 12.1.1. 设置自动化任务 12.1.2. Automated 任务类型 Expand section "12.1.2. Automated 任务类型" Collapse section "12.1.2. Automated 任务类型" 12.1.2.1. certRenewalNotifier (RenewalNotificationJob) 12.1.2.2. requestInQueueNotifier (RequestInQueueJob) 12.1.2.3. publishCerts (PublishCertsJob) 12.1.2.4. unpublishExpiredCerts (UnpublishExpiredJob) 12.2. 设置作业调度程序 12.3. 设置特定作业 Expand section "12.3. 设置特定作业" Collapse section "12.3. 设置特定作业" 12.3.1. 使用证书管理器控制台配置特定作业 12.3.2. 通过编辑配置文件配置作业 12.3.3. certRenewalNotifier 的配置参数 12.3.4. requestInQueueNotifier 的配置参数 12.3.5. 发布证书的配置参数 12.3.6. unpublishExpiredCerts 的配置参数 12.3.7. 自动任务的频率设置 12.4. 注册一个 Job 模块 IV. 管理 subsystem 实例 Expand section "IV. 管理 subsystem 实例" Collapse section "IV. 管理 subsystem 实例" 13. 基本子系统管理 Expand section "13. 基本子系统管理" Collapse section "13. 基本子系统管理" 13.1. PKI 实例 13.2. PKI 实例执行管理 Expand section "13.2. PKI 实例执行管理" Collapse section "13.2. PKI 实例执行管理" 13.2.1. 启动、停止和重启 PKI 实例 13.2.2. 在机器重启后重启 PKI 实例 13.2.3. 检查 PKI 实例状态 13.2.4. 配置 PKI 实例以自动启动重启 13.2.5. 为证书证书 Systemnbsp 设置 sudo 权限; 系统服务 13.3. 打开 subsystem 控制台和服务 Expand section "13.3. 打开 subsystem 控制台和服务" Collapse section "13.3. 打开 subsystem 控制台和服务" 13.3.1. 查找 subsystem Web Services 页面 13.3.2. 启动证书证书 Systemnbsp;System Administrative Console 13.3.3. 为 Java 管理控制台启用 SSL 13.4. 在 Java 安全管理器下运行子系统 Expand section "13.4. 在 Java 安全管理器下运行子系统" Collapse section "13.4. 在 Java 安全管理器下运行子系统" 13.4.1. 关于安全管理器策略文件 13.4.2. 在不使用 Java 安全管理器的情况下启动 subsystem 实例 13.5. 配置 LDAP 数据库 Expand section "13.5. 配置 LDAP 数据库" Collapse section "13.5. 配置 LDAP 数据库" 13.5.1. 更改内部数据库配置 13.5.2. 在目录服务器中使用证书系统发布的证书 13.5.3. 使用内部数据库启用 SSL/TLS 客户端身份验证 13.5.4. 限制对内部数据库的访问 13.6. 查看安全域配置 13.7. 管理 子系统的 SELinux 策略 Expand section "13.7. 管理 子系统的 SELinux 策略" Collapse section "13.7. 管理 子系统的 SELinux 策略" 13.7.1. 关于 SELinux 13.7.2. 查看子系统的 SELinux 策略 13.7.3. 重新标记 nCipher netHSM 上下文 13.8. 备份和恢复证书证书证书nbsp;系统 Expand section "13.8. 备份和恢复证书证书证书nbsp;系统" Collapse section "13.8. 备份和恢复证书证书证书nbsp;系统" 13.8.1. 备份和恢复 LDAP 内部数据库 Expand section "13.8.1. 备份和恢复 LDAP 内部数据库" Collapse section "13.8.1. 备份和恢复 LDAP 内部数据库" 13.8.1.1. 备份 LDAP 内部数据库 Expand section "13.8.1.1. 备份 LDAP 内部数据库" Collapse section "13.8.1.1. 备份 LDAP 内部数据库" 13.8.1.1.1. 使用 db2ldif 备份 13.8.1.1.2. 使用 db2bak 备份 13.8.1.2. 恢复 LDAP 内部数据库 Expand section "13.8.1.2. 恢复 LDAP 内部数据库" Collapse section "13.8.1.2. 恢复 LDAP 内部数据库" 13.8.1.2.1. 使用 ldif2db 恢复 13.8.1.2.2. 使用 bak2db 恢复 13.8.2. 备份和恢复实例目录 13.9. 运行自助测试 Expand section "13.9. 运行自助测试" Collapse section "13.9. 运行自助测试" 13.9.1. 运行自助测试 Expand section "13.9.1. 运行自助测试" Collapse section "13.9.1. 运行自助测试" 13.9.1.1. 从控制台运行自助测试 13.9.1.2. 运行 TPS Self-Tests 13.9.2. 自我测试日志记录 13.9.3. 配置 POSIX 系统 ACL Expand section "13.9.3. 配置 POSIX 系统 ACL" Collapse section "13.9.3. 配置 POSIX 系统 ACL" 13.9.3.1. 为 CA、KRA、OCSP、TKS 和 TPS 设置 POSIX 系统 ACL 14. 管理证书证书系统启动; 系统用户和组 Expand section "14. 管理证书证书系统启动; 系统用户和组" Collapse section "14. 管理证书证书系统启动; 系统用户和组" 14.1. 关于授权 14.2. 默认组 Expand section "14.2. 默认组" Collapse section "14.2. 默认组" 14.2.1. 管理员 14.2.2. 审核员 14.2.3. 代理 14.2.4. 企业级组 14.3. 管理 CA、OCSP、KRA 或 TKS 的用户和组 Expand section "14.3. 管理 CA、OCSP、KRA 或 TKS 的用户和组" Collapse section "14.3. 管理 CA、OCSP、KRA 或 TKS 的用户和组" 14.3.1. 管理组 Expand section "14.3.1. 管理组" Collapse section "14.3.1. 管理组" 14.3.1.1. 创建新组 14.3.1.2. 更改组中的成员 14.3.2. 管理用户(管理员、代理和审核员) Expand section "14.3.2. 管理用户(管理员、代理和审核员)" Collapse section "14.3.2. 管理用户(管理员、代理和审核员)" 14.3.2.1. 创建用户 Expand section "14.3.2.1. 创建用户" Collapse section "14.3.2.1. 创建用户" 14.3.2.1.1. 使用命令行创建用户 14.3.2.1.2. 使用控制台创建用户 14.3.2.2. 更改证书证书系统启动;系统用户的证书 14.3.2.3. 续订管理员、代理和审核员用户证书 14.3.2.4. 删除证书证书系统启动; 系统用户 14.4. 为 TPS 创建和管理用户 Expand section "14.4. 为 TPS 创建和管理用户" Collapse section "14.4. 为 TPS 创建和管理用户" 14.4.1. 列出和搜索用户 Expand section "14.4.1. 列出和搜索用户" Collapse section "14.4.1. 列出和搜索用户" 14.4.1.1. 通过 Web UI 14.4.1.2. 从命令行 14.4.2. 添加用户 Expand section "14.4.2. 添加用户" Collapse section "14.4.2. 添加用户" 14.4.2.1. 通过 Web UI Expand section "14.4.2.1. 通过 Web UI" Collapse section "14.4.2.1. 通过 Web UI" 14.4.2.1.1. 从命令行 14.4.3. 为用户设置配置集 14.4.4. 管理用户角色 Expand section "14.4.4. 管理用户角色" Collapse section "14.4.4. 管理用户角色" 14.4.4.1. 通过 Web UI 14.4.4.2. 从命令行 14.4.5. 管理用户角色 14.4.6. 更新 TPS 代理和管理员证书 14.4.7. 删除用户 14.5. 为用户配置访问控制 Expand section "14.5. 为用户配置访问控制" Collapse section "14.5. 为用户配置访问控制" 14.5.1. 关于访问控制 14.5.2. 更改 subsystem 的访问控制设置 14.5.3. 添加 ACL 14.5.4. 编辑 ACL 15. 配置子系统日志 Expand section "15. 配置子系统日志" Collapse section "15. 配置子系统日志" 15.1. 关于证书证书系统nbsp;系统日志 Expand section "15.1. 关于证书证书系统nbsp;系统日志" Collapse section "15.1. 关于证书证书系统nbsp;系统日志" 15.1.1. 系统日志 15.1.2. 事务日志 15.1.3. 调试日志 Expand section "15.1.3. 调试日志" Collapse section "15.1.3. 调试日志" 15.1.3.1. 安装日志 15.1.3.2. Tomcat 错误和访问日志 15.1.3.3. self-Tests 日志 15.2. 管理日志 Expand section "15.2. 管理日志" Collapse section "15.2. 管理日志" 15.2.1. 日志设置概述 Expand section "15.2.1. 日志设置概述" Collapse section "15.2.1. 日志设置概述" 15.2.1.1. Are Logged 的服务 15.2.1.2. 日志级别(Message Categories) 15.2.1.3. buffered 和 Unbuffered Logging 15.2.1.4. 日志文件轮转 15.2.2. 在控制台中配置日志 15.2.3. 在 CS.cfg 文件中配置日志 15.2.4. 管理审计日志 Expand section "15.2.4. 管理审计日志" Collapse section "15.2.4. 管理审计日志" 15.2.4.1. 审计事件列表 15.2.4.2. 安装后启用签名审计日志 15.2.4.3. 在控制台中配置签名审计日志 15.2.4.4. 处理审计日志故障 15.2.4.5. 签名日志文件 15.2.4.6. 过滤审计事件 15.2.5. 管理日志模块 15.3. 使用日志 Expand section "15.3. 使用日志" Collapse section "15.3. 使用日志" 15.3.1. 在控制台中查看日志 15.3.2. 使用签名审计日志 Expand section "15.3.2. 使用签名审计日志" Collapse section "15.3.2. 使用签名审计日志" 15.3.2.1. 列出审计日志 15.3.2.2. 下载审计日志 15.3.2.3. 验证签名审计日志 15.3.3. 显示操作系统级别审计日志 Expand section "15.3.3. 显示操作系统级别审计日志" Collapse section "15.3.3. 显示操作系统级别审计日志" 15.3.3.1. 显示审计日志删除事件 15.3.3.2. 显示对 Secret 和私钥的 NSS 数据库的访问 15.3.3.3. 显示时间更改事件 15.3.3.4. 显示软件包更新事件 15.3.3.5. 显示 PKI 配置的更改 15.3.4. 智能卡错误代码 16. 管理子系统证书 Expand section "16. 管理子系统证书" Collapse section "16. 管理子系统证书" 16.1. 所需的 子系统证书 Expand section "16.1. 所需的 子系统证书" Collapse section "16.1. 所需的 子系统证书" 16.1.1. 证书管理器证书 Expand section "16.1.1. 证书管理器证书" Collapse section "16.1.1. 证书管理器证书" 16.1.1.1. CA 签名密钥对和证书 16.1.1.2. OCSP 签名密钥对和证书 16.1.1.3. 子系统证书 16.1.1.4. SSL 服务器密钥对和证书 16.1.1.5. 审计日志签名密钥对和证书 16.1.2. 在线证书状态管理器证书 Expand section "16.1.2. 在线证书状态管理器证书" Collapse section "16.1.2. 在线证书状态管理器证书" 16.1.2.1. OCSP 签名密钥对和证书 16.1.2.2. SSL 服务器密钥对和证书 16.1.2.3. 子系统证书 16.1.2.4. 审计日志签名密钥对和证书 16.1.2.5. 识别在线证书状态管理器证书 16.1.3. 密钥恢复授权证书 Expand section "16.1.3. 密钥恢复授权证书" Collapse section "16.1.3. 密钥恢复授权证书" 16.1.3.1. 传输密钥对和证书 16.1.3.2. 存储密钥对 16.1.3.3. SSL 服务器证书 16.1.3.4. 子系统证书 16.1.3.5. 审计日志签名密钥对和证书 16.1.4. TKS 证书 Expand section "16.1.4. TKS 证书" Collapse section "16.1.4. TKS 证书" 16.1.4.1. SSL 服务器证书 16.1.4.2. 子系统证书 16.1.4.3. 审计日志签名密钥对和证书 16.1.5. TPS 证书 Expand section "16.1.5. TPS 证书" Collapse section "16.1.5. TPS 证书" 16.1.5.1. SSL 服务器证书 16.1.5.2. 子系统证书 16.1.5.3. 审计日志签名密钥对和证书 16.1.6. 关于 subsystem 证书和密钥类型 16.1.7. 使用 HSM 存储子系统证书 16.2. 通过控制台请求证书 Expand section "16.2. 通过控制台请求证书" Collapse section "16.2. 通过控制台请求证书" 16.2.1. 请求签名证书 16.2.2. 请求其他证书 16.3. 更新 subsystem 证书 Expand section "16.3. 更新 subsystem 证书" Collapse section "16.3. 更新 subsystem 证书" 16.3.1. 在 End-Entities Forms 中重新生成证书 16.3.2. 在控制台中更新证书 16.3.3. 使用 certutil 更新证书 16.3.4. 更新系统证书 16.4. 更改 子系统证书的名称 16.5. 使用跨Pair 证书 Expand section "16.5. 使用跨Pair 证书" Collapse section "16.5. 使用跨Pair 证书" 16.5.1. 安装跨Pair 证书 16.5.2. 搜索跨Pair 证书 16.6. 管理证书数据库 Expand section "16.6. 管理证书数据库" Collapse section "16.6. 管理证书数据库" 16.6.1. 在证书系统数据库中安装证书 Expand section "16.6.1. 在证书系统数据库中安装证书" Collapse section "16.6.1. 在证书系统数据库中安装证书" 16.6.1.1. 通过控制台安装证书 16.6.1.2. 使用 certutil 安装证书 16.6.1.3. 关于 CA 证书链 16.6.2. 查看数据库内容 Expand section "16.6.2. 查看数据库内容" Collapse section "16.6.2. 查看数据库内容" 16.6.2.1. 通过控制台查看数据库内容 16.6.2.2. 使用 certutil 查看数据库内容 16.6.3. 从数据库中删除证书 Expand section "16.6.3. 从数据库中删除证书" Collapse section "16.6.3. 从数据库中删除证书" 16.6.3.1. 通过控制台删除证书 16.6.3.2. 使用 certutil 删除证书 16.7. 更改 CA 证书的信任设置 Expand section "16.7. 更改 CA 证书的信任设置" Collapse section "16.7. 更改 CA 证书的信任设置" 16.7.1. 通过控制台更改信任设置 16.7.2. 使用 certutil 更改信任设置 16.8. 管理由 子系统使用的令牌 Expand section "16.8. 管理由 子系统使用的令牌" Collapse section "16.8. 管理由 子系统使用的令牌" 16.8.1. 检测令牌 16.8.2. 查看令牌 16.8.3. 更改令牌的密码 17. 在 Red Hat Enterprise Linux 7 中设置时间和日期 18. 确定证书系统产品版本 19. 更新红帽认证系统 20. 故障排除 21. 子系统控制和维护 Expand section "21. 子系统控制和维护" Collapse section "21. 子系统控制和维护" 21.1. 启动、停止、重启和 Obtaining 状态 21.2. 子系统健康检查 V. 参考信息 Expand section "V. 参考信息" Collapse section "V. 参考信息" A. 证书配置集输入和输出参考 Expand section "A. 证书配置集输入和输出参考" Collapse section "A. 证书配置集输入和输出参考" A.1. 输入参考 Expand section "A.1. 输入参考" Collapse section "A.1. 输入参考" A.1.1. 证书请求输入 A.1.2. CMC 证书请求输入 A.1.3. 双密钥生成输入 A.1.4. 文件增强输入 A.1.5. 镜像输入 A.1.6. 密钥生成输入 A.1.7. nsHKeyCertRequest (Token Key) Input A.1.8. nsNKeyCertRequest (Token User Key) Input A.1.9. 序列号续订输入 A.1.10. 主题 DN 输入 A.1.11. 主题名称输入 A.1.12. 提交信息输入 A.1.13. 通用输入 A.1.14. 主题备用名称扩展输入 A.2. 输出参考 Expand section "A.2. 输出参考" Collapse section "A.2. 输出参考" A.2.1. 证书输出 A.2.2. PKCS #7 Output A.2.3. nsNSKeyOutput A.2.4. CMMF 输出 B. 证书和 CRL 的默认、限制和扩展 Expand section "B. 证书和 CRL 的默认、限制和扩展" Collapse section "B. 证书和 CRL 的默认、限制和扩展" B.1. 默认参考 Expand section "B.1. 默认参考" Collapse section "B.1. 默认参考" B.1.1. 授权信息扩展默认 B.1.2. 颁发机构键标识符默认值 B.1.3. 身份验证令牌对象名称默认 B.1.4. 基本限制扩展默认值 B.1.5. CA 有效期默认值 B.1.6. 证书策略扩展默认值 B.1.7. CRL Distribution Points Extension Default B.1.8. 扩展密钥使用扩展默认值 B.1.9. 最新的 CRL 扩展默认值 B.1.10. 通用扩展默认 B.1.11. 禁止任何策略扩展默认值 B.1.12. 签发者备用名称扩展默认值 B.1.13. 主要使用扩展默认值 B.1.14. 名称限制扩展默认值 B.1.15. Netscape Certificate Type Extension Default B.1.16. Netscape Comment Extension 默认 B.1.17. 没有默认扩展 B.1.18. OCSP No Check Extension Default B.1.19. 策略限制扩展默认值 B.1.20. 策略映射程序扩展默认 B.1.21. 私钥使用周期扩展默认值 B.1.22. 签名算法 B.1.23. 主题名称扩展默认值 B.1.24. 主题目录属性扩展默认值 B.1.25. 主题信息扩展默认 B.1.26. 主题键标识符默认 B.1.27. 主题名称默认 B.1.28. 用户密钥默认值 B.1.29. 用户签名算法 B.1.30. 用户主题名称默认 B.1.31. 用户有效期默认值 B.1.32. 用户补充默认设置 B.1.33. 有效性默认值 B.2. 约束参考 Expand section "B.2. 约束参考" Collapse section "B.2. 约束参考" B.2.1. 基本限制扩展约束 B.2.2. CA Validity Constraint B.2.3. 扩展密钥使用扩展约束 B.2.4. 扩展约束 B.2.5. 键约束 B.2.6. 主要使用扩展约束 B.2.7. Netscape Certificate Type Extension Constraint B.2.8. No Constraint B.2.9. renewal Grace Period Constraint B.2.10. 签名算法 B.2.11. 主题名称约束 B.2.12. 唯一的键约束 B.2.13. 唯一的 Subject Name Constraint B.2.14. 有效期约束 B.3. 标准 X.509 v3 证书扩展参考 Expand section "B.3. 标准 X.509 v3 证书扩展参考" Collapse section "B.3. 标准 X.509 v3 证书扩展参考" B.3.1. authorityInfoAccess B.3.2. authorityKeyIdentifier B.3.3. basicConstraints B.3.4. certificatePoliciesExt B.3.5. CRLDistributionPoints B.3.6. extKeyUsage B.3.7. issuerAltName 扩展 B.3.8. keyUsage B.3.9. nameConstraints B.3.10. OCSPNocheck B.3.11. policyConstraints B.3.12. policyMappings B.3.13. privateKeyUsagePeriod B.3.14. subjectAltName B.3.15. subjectDirectoryAttributes B.3.16. subjectKeyIdentifier B.4. CRL 扩展 Expand section "B.4. CRL 扩展" Collapse section "B.4. CRL 扩展" B.4.1. 关于 CRL 扩展 Expand section "B.4.1. 关于 CRL 扩展" Collapse section "B.4.1. 关于 CRL 扩展" B.4.1.1. CRL 扩展结构 B.4.1.2. CRL 和 CRL Entry Extensions 示例 B.4.2. 标准 X.509 v3 CRL 扩展参考 Expand section "B.4.2. 标准 X.509 v3 CRL 扩展参考" Collapse section "B.4.2. 标准 X.509 v3 CRL 扩展参考" B.4.2.1. CRL 的扩展 Expand section "B.4.2.1. CRL 的扩展" Collapse section "B.4.2.1. CRL 的扩展" B.4.2.1.1. authorityInfoAccess B.4.2.1.2. authorityKeyIdentifier B.4.2.1.3. CRLNumber B.4.2.1.4. deltaCRLIndicator B.4.2.1.5. FreshestCRL B.4.2.1.6. issuerAltName B.4.2.1.7. issuingDistributionPoint B.4.2.2. CRL Entry Extensions Expand section "B.4.2.2. CRL Entry Extensions" Collapse section "B.4.2.2. CRL Entry Extensions" B.4.2.2.1. certificateIssuer B.4.2.2.2. invalidityDate B.4.2.2.3. CRLReason B.4.3. Netscape-Defined Certificate Extensions 参考 Expand section "B.4.3. Netscape-Defined Certificate Extensions 参考" Collapse section "B.4.3. Netscape-Defined Certificate Extensions 参考" B.4.3.1. netscape-cert-type B.4.3.2. netscape-comment C. 发布模块参考 Expand section "C. 发布模块参考" Collapse section "C. 发布模块参考" C.1. Communityly 插件模块 Expand section "C.1. Communityly 插件模块" Collapse section "C.1. Communityly 插件模块" C.1.1. FileBasedPublisher C.1.2. LdapCaCertPublisher C.1.3. LdapUserCertPublisher C.1.4. LdapCrlPublisher C.1.5. LdapDeltaCrlPublisher C.1.6. LdapCertificatePairPublisher C.1.7. OCSPPublisher C.2. 映射器插件模块 Expand section "C.2. 映射器插件模块 " Collapse section "C.2. 映射器插件模块 " C.2.1. LdapCaSimpleMap Expand section "C.2.1. LdapCaSimpleMap" Collapse section "C.2.1. LdapCaSimpleMap" C.2.1.1. LdapCaCertMap C.2.1.2. LdapCrlMap C.2.2. LdapDNExactMap C.2.3. LdapSimpleMap C.2.4. LdapSubjAttrMap C.2.5. LdapDNCompsMap Expand section "C.2.5. LdapDNCompsMap" Collapse section "C.2.5. LdapDNCompsMap" C.2.5.1. LdapDNCompsMap 的配置参数 C.3. 规则实例 Expand section "C.3. 规则实例" Collapse section "C.3. 规则实例" C.3.1. LdapCaCertRule C.3.2. LdapXCertRule C.3.3. LdapUserCertRule C.3.4. LdapCRLRule D. ACL 参考 Expand section "D. ACL 参考" Collapse section "D. ACL 参考" D.1. 关于 ACL 配置文件 D.2. 常见 ACL Expand section "D.2. 常见 ACL" Collapse section "D.2. 常见 ACL" D.2.1. certServer.acl.configuration D.2.2. certServer.admin.certificate D.2.3. certServer.auth.configuration D.2.4. certServer.clone.configuration D.2.5. certServer.general.configuration D.2.6. certServer.log.configuration D.2.7. certServer.log.configuration.fileName D.2.8. certServer.log.content.system D.2.9. certServer.log.content.transactions D.2.10. certServer.log.content.signedAudit D.2.11. certServer.registry.configuration D.3. 特定于证书的 ACL Expand section "D.3. 特定于证书的 ACL" Collapse section "D.3. 特定于证书的 ACL" D.3.1. certServer.admin.ocsp D.3.2. certServer.ca.certificate D.3.3. certServer.ca.certificates D.3.4. certServer.ca.configuration D.3.5. certServer.ca.connector D.3.6. certServer.ca.connectorInfo D.3.7. certServer.ca.crl D.3.8. certServer.ca.directory D.3.9. certServer.ca.group D.3.10. certServer.ca.ocsp D.3.11. certServer.ca.profile D.3.12. certServer.ca.profiles D.3.13. certServer.ca.registerUser D.3.14. certServer.ca.request.enrollment D.3.15. certServer.ca.request.profile D.3.16. certServer.ca.requests D.3.17. certServer.ca.systemstatus D.3.18. certServer.ee.certchain D.3.19. certServer.ee.certificate D.3.20. certServer.ee.certificates D.3.21. certServer.ee.crl D.3.22. certServer.ee.profile D.3.23. certServer.ee.profiles D.3.24. certServer.ee.request.ocsp D.3.25. certServer.ee.request.revocation D.3.26. certServer.ee.requestStatus D.3.27. certServer.job.configuration D.3.28. certServer.profile.configuration D.3.29. certServer.publisher.configuration D.3.30. certServer.securitydomain.domainxml D.4. 特定于密钥恢复机构的 ACL Expand section "D.4. 特定于密钥恢复机构的 ACL" Collapse section "D.4. 特定于密钥恢复机构的 ACL" D.4.1. certServer.job.configuration D.4.2. certServer.kra.certificate.transport D.4.3. certServer.kra.configuration D.4.4. certServer.kra.connector D.4.5. certServer.kra.GenerateKeyPair D.4.6. certServer.kra.getTransportCert D.4.7. certServer.kra.group D.4.8. certServer.kra.key D.4.9. certServer.kra.keys D.4.10. certServer.kra.registerUser D.4.11. certServer.kra.request D.4.12. certServer.kra.request.status D.4.13. certServer.kra.requests D.4.14. certServer.kra.systemstatus D.4.15. certServer.kra.TokenKeyRecovery D.5. 在线证书状态管理器特定 ACL Expand section "D.5. 在线证书状态管理器特定 ACL" Collapse section "D.5. 在线证书状态管理器特定 ACL" D.5.1. certServer.ee.crl D.5.2. certServer.ee.request.ocsp D.5.3. certServer.ocsp.ca D.5.4. certServer.ocsp.cas D.5.5. certServer.ocsp.certificate D.5.6. certServer.ocsp.configuration D.5.7. certServer.ocsp.crl D.5.8. certServer.ocsp.group D.5.9. certServer.ocsp.info D.6. 基于令牌密钥服务的 ACL Expand section "D.6. 基于令牌密钥服务的 ACL" Collapse section "D.6. 基于令牌密钥服务的 ACL" D.6.1. certServer.tks.encrypteddata D.6.2. certServer.tks.group D.6.3. certServer.tks.importTransportCert D.6.4. certServer.tks.keysetdata D.6.5. certServer.tks.registerUser D.6.6. certServer.tks.sessionkey D.6.7. certServer.tks.randomdata E. 审计事件 Expand section "E. 审计事件" Collapse section "E. 审计事件" E.1. 审计事件描述 术语表 索引 F. 修订历史记录 Settings Close Language: 日本語 English 简体中文 Language: 日本語 English 简体中文 Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 日本語 English 简体中文 Language: 日本語 English 简体中文 Format: Multi-page Single-page Format: Multi-page Single-page B.3.11. policyConstraints 此扩展仅用于 CA 证书,以两种方式限制路径验证。它可用于禁止策略映射,或者要求路径中的每个证书都包含可接受的策略标识符。 PKIX 要求(若存在),此扩展永远不会包含 null 序列。必须至少存在两个可用字段之一。 OID 2.5.29.36 严重程度 这个扩展可能是关键或非关键。 Previous Next
