9.4. CMC SharedSecret 身份验证

使用 Shared Secret 功能可让用户向服务器发送未签名的 CMC 请求。例如,如果用户要获取第一个签名证书,则需要这样做。之后,可以使用此签名证书对这个用户的其他证书进行签名。

9.4.1. 创建共享 secret 令牌

Red Hat Certificate System planning、Installing 和 Deployment Guide 中的 Shared Secret Workflow 部分描述了使用 Shared Secret Token 时的工作流。根据情况,最终用户或管理员创建共享 Secret 令牌。
注意
要使用共享 secret 令牌,证书系统必须使用 RSA 保障证书。详情请参阅 RHCS 规划、安装和部署指南中的启用 CMC 共享 Secret 功能部分。
要创建共享 Secret 令牌,请输入:
# CMCSharedToken -d /home/user_name/.dogtag/ -p NSS_password \
	     -s "CMC_enrollment_password" -o /home/user_name/CMC_shared_token.b64 \
	     -n "issuance_protection_certificate_nickname"
如果使用 HSM,则额外将 -h token_name 选项传递给命令,以设置 HSM 安全令牌名称。
有关 CMCSharedToken 工具程序的详情,请查看 CMCSharedToken(8) man page。
注意
生成的令牌已加密,只有生成的用户才知道密码。如果 CA 管理员为用户生成令牌,管理员必须以安全的方式向用户提供密码。
创建 Shared Token 后,管理员必须将令牌添加到用户或证书记录中。详情请查看 第 9.4.2 节 “设置 CMC 共享 Secret”