9.3. CMC 身份验证插件

CMC 注册程序可让注册的客户端使用 CMC 身份验证插件进行身份验证,该插件由证书请求在代理证书或用户证书中预签名,具体取决于插件。当收到使用有效证书签名的 CMC 请求时,证书管理器会自动发布证书。
CMC 身份验证插件还为客户端提供 CMC 撤销程序。CMC 撤销程序可让客户端具有由代理证书签名的证书请求,或者验证拥有证书的用户,然后将此类请求发送到证书管理器。当收到使用有效证书签名的 CMC 撤销请求时,证书管理器会自动撤销证书。
证书系统提供以下 CMC 身份验证插件:
CMCAuth
当 CA 代理为 CMC 请求签名时,请使用此插件。
要使用 CMCAuth 插件,请在注册配置集中设置以下内容:
auth.instance_id=CMCAuth
默认情况下,以下注册配置集使用 CMCAuth 插件:
  • 对于系统证书:
    • caCMCauditSigningCert
    • caCMCcaCert
    • caCMCECserverCert
    • caCMCECsubsystemCert
    • caCMCECUserCert
    • caCMCkraStorageCert
    • caCMCkraTransportCert
    • caCMCocspCert
    • caCMCserverCert
    • caCMCsubsystemCert
  • 对于用户证书:
    • caCMCUserCert
    • caECFullCMCUserCert
    • caFullCMCUserCert
CMCUserSignedAuth
当用户提交签名或基于 SharedSecret 的 CMC 请求时,请使用此插件。
要使用 CMCUserSignedAuth 插件,请在注册配置集中设置以下内容:
auth.instance_id=CMCUserSignedAuth
用户签名的 CMC 请求必须由用户的证书签名,该证书包含与请求的证书相同的 subjectDN 属性。如果用户已获取了一个签名证书,则您只能使用用户签名的 CMC 请求,以证明其用于其他证书的身份。
基于 SharedSecret 的 CMC 请求表示请求由请求本身的私钥签名。在这种情况下,CMC 请求必须使用 Shared Secret 机制进行身份验证。基于 SharedSecret 的 CMC 请求通常是用来获取用户的第一个签名证书,稍后用于获取其他证书。详情请查看 第 9.4 节 “CMC SharedSecret 身份验证”
默认情况下,以下注册配置集使用 CMCUserSignedAuth 插件:
  • caFullCMCUserSignedCert
  • caECFullCMCUserSignedCert
  • caFullCMCSharedTokenCert
  • caECFullCMCSharedTokenCert