5.6.3.2.2. 使用共享 Secret 对证书注册进行身份验证

当用户希望获取第一个签名证书时,代理无法批准请求,如 第 5.6.3.2.1 节 “使用代理证书签名 CMC 请求” 所述,您可以使用 Shared Token。使用这个令牌,用户可以获取第一个签名证书。然后,此证书可用于签署用户的其他证书。
在这种情况下,使用 Shared Secret 机制获取用户的第一个签名证书。将以下信息与 第 5.6.2 节 “CMC 注册过程” 一起使用:
  1. 以用户或 CA 管理员创建共享令牌。详情请参阅 红帽证书系统规划、安装和部署指南中的 创建共享 Secret 令牌 部分。
    请注意:
    • 如果创建令牌,用户必须将令牌发送到 CA 管理员。
    • 如果 CA 管理员创建了令牌,管理员必须向用户共享用于生成令牌的密码。使用安全的方式传输密码。
  2. 作为 CA 管理员,将 Shared Token 添加到 LDAP 中的用户条目中。详情请参阅 Red Hat 证书系统规划、安装和部署指南中的 第 9.4.2.1 节 “将 CMC 共享 Secret 添加到用于证书注册的用户条目”启用 CMC Shared Secret 功能 部分。
  3. 使用传递给 CMCRequest 工具的配置文件中的以下参数:
    • identification.enable
    • witness.sharedSecret
    • identityProofV2.enable
    • identityProofV2.hashAlg
    • identityProofV2.macAlg
    • request.useSharedSecret
    • request.privKeyId
  4. 如果 CA 需要,还要使用传递给 CMCRequest 工具的配置文件中的以下参数:
    • popLinkWitnessV2.enable
    • popLinkWitnessV2.keyGenAlg
    • popLinkWitnessV2.macAlg