3.6.2. 在签发者证书上更改 CA 的限制

在配置子系统后,默认设置签发的证书的限制。包括:
  • 是否可以发布证书有效期超过 CA 签名证书。默认值为不允许使用。
  • 用于签名证书的签名算法。
  • CA 可用于发布证书的序列号范围。
从属 CA 对有效期期、证书类型以及可以发布的扩展类型具有约束。从属 CA 可能会发布违反这些限制的证书,但客户端可以进行身份验证违反这些限制的证书。在更改下级 CA 的发布规则前,请检查 CA 签名证书上设置的限制。
更改证书可保证规则:
  1. 打开 CertificateCertificate Systemnbsp;System Console。
    pkiconsole https://server.example.com:8443/ca
  2. Configuration 选项卡左侧导航树中,选择 Certificate Manager 项。

    图 3.1. 默认非子 CA 中的 General Settings 标签页

    默认非子 CA 中的 General Settings 标签页
  3. 默认情况下,在非克隆的 CA 中,证书管理器 菜单项中的 General Settings 选项卡包含以下选项:
    • 覆盖有效嵌套要求。此复选框设置证书管理器是否可以超过 CA 签名证书的有效性期发布证书。
      如果没有选择这个复选框,且 CA 收到一个有效期周期的时间超过 CA 签名证书的有效性期,它会在 CA 签名证书过期日自动截断有效周期。
    • 证书串行号.这些字段显示证书管理器发布的证书的序列号范围。服务器为它发出的下一个证书以及 结束 序列号中的数字分配给它问题的最后证书,在 Next 序列号 中为其分配序列号。
      序列号范围允许部署多个 CA,并平衡每个 CA 问题的证书数量。签发者名称和序列号的组合会唯一标识证书。
      注意
      带有克隆的 CA 的序列号范围是 fluid。所有克隆的 CAs 共享定义下一个可用范围的通用配置条目。当一个 CA 在可用数量较低时,它会检查这个配置条目并声明下一个范围。条目会自动更新,以便下一个 CA 获取新范围。
      范围在 start *Numberend*Number 属性中定义,为请求和证书序列号定义单独的范围。例如:
       dbs.beginRequestNumber=1
       dbs.beginSerialNumber=1
       dbs.enableSerialManagement=true
       dbs.endRequestNumber=9980000
       dbs.endSerialNumber=ffe0000
       dbs.ldap=internaldb
       dbs.newSchemaEntryAdded=true
       dbs.replicaCloneTransferNumber=5
      可以为没有克隆的 CA 启用序列号管理。 但是,除非系统被自动启用,否则将默认禁用序列号管理。
      无法通过控制台手动更新序列号。序列号范围是只读字段。
    • 默认签名算法.指定证书管理器用于签名证书的签名算法。如果 CA 的签名密钥类型为 RSA,则选项是 SHA256withRSASHA512withRSA
      证书配置集配置中指定的签名算法会覆盖此处设定的算法。
  4. 默认情况下,在克隆的 CA 中,Certificate Manager 菜单项中的 General Settings 选项卡包含以下选项:
    • 启用序列号管理
    • 启用随机证书序列号
    选中这两个复选框。

    图 3.2. 默认情况下,克隆的 CA 中的 General Settings 选项卡

    默认情况下,克隆的 CA 中的 General Settings 选项卡
  5. Save