3.2.2. 使用基于 Java 的管理控制台管理证书注册配置集

3.2.2.1. 通过 CA 控制台创建证书配置集

为了安全起见,证书系统可强制隔离现有的证书配置集,只有管理员在代理允许后才可以编辑它。要添加新证书配置集或修改现有证书配置集,请以管理员身份执行以下步骤:
  1. 登录到证书Certificate Systemnbsp;System CA 子系统控制台。
    pkiconsole https://server.example.com:8443/ca
  2. Configuration 选项卡中,选择 Certificate Manager,然后选择 Certificate Profiles
    Certificate Profile Instances Management 选项卡(列出配置的证书配置集)会打开。
  3. 要创建新证书配置文件,请单击 Add
    Select Certificate Profile Plugin Implementation 窗口中,选择创建配置集的证书类型。
  4. Certificate Profile Instance Editor 中查看配置集信息。
    • 证书配置文件实例 ID.这是系统用来识别配置集的 ID。
    • 证书配置文件名称.这是配置集的用户友好名称。
    • 证书配置文件描述.
    • 最终用户证书配置文件.这将设置请求是否必须通过配置集的输入表单进行发布。这通常设置为 true。将其设置为 false 可让通过证书管理器的证书配置集框架处理签名请求,而不是通过证书配置集的输入页面。
    • 证书配置文件身份验证.这将设置身份验证方法。通过为身份验证提供实例 ID 来设置自动化身份验证。如果此字段为空,则验证方法是代理批准的注册;请求将提交到代理服务接口的请求队列。
      除非用于 TMS 子系统,否则管理员必须选择以下身份验证插件之一:
      • CMCAuth :当 CA 代理必须批准并提交注册请求时,使用此插件。
      • CMCUserSignedAuth :使用此插件使非代理用户注册自己的证书。
  5. 点击 OK。插件编辑器关闭,新配置集在 profile 选项卡中列出。
  6. 为新配置集配置策略、输入和输出。从列表中选择新配置集,再单击 Edit/View
  7. 证书配置文件规则编辑器窗口的 Policies 选项卡中设置策略Policies 标签页列出了为配置集类型默认设置的策略。
    1. 要添加策略,请点击 Add
    2. Default 字段中选择默认值,在 Constraints 字段中选择与该策略关联的限制,然后单击确定
    3. 填写策略设置 ID。在发出双键对时,单独的策略会定义与每个证书关联的策略。然后填写证书配置集策略 ID,这是证书配置集策略的名称或标识符。
    4. DefaultsConstraints 选项卡中配置任何参数。
      默认值 定义填充证书请求的属性,后者决定了证书的内容。这些可以是扩展、有效期期或证书中包含的其他字段。约束 定义了默认值。
      如需每个默认或约束的完整详情,请参阅 第 B.1 节 “默认参考”第 B.2 节 “约束参考”
    要修改现有策略,请选择一个策略,然后点 Edit。然后,编辑该策略的默认值和限制。
    要删除策略,请选择策略,然后点 Delete
  8. 证书配置文件规则编辑器窗口的 输入 选项卡中设置输入。配置集可以有多个输入类型。
    注意
    除非为 TMS 子系统配置配置集,否则仅选择 cmcCertReqInput 并删除其他配置集,并点 Delete 按钮。
    1. 要添加输入,请单击 Add
    2. 从列表中选择输入,然后单击确定。如需默认输入的完整详情,请参阅 第 A.1 节 “输入参考”
    3. 此时会打开 New Certificate Profile Editor 窗口。设置输入 ID,然后单击确定
    可以添加和删除输入。可以选择编辑输入,但因为输入没有参数或其他设置,因此没有配置任何内容。
    要删除输入,请选择输入,然后单击 Delete
  9. 证书配置集 规则编辑器 窗口的 Outputs 选项卡中设置输出
    必须为使用自动身份验证方法的任何证书配置集设置输出;不需要为使用代理批准的验证的任何证书配置集设置输出。默认情况下,所有配置集都会设置证书输出类型,并自动添加到自定义配置集。
    除非为 TMS 子系统配置配置集,否则仅选择 certOutput
    可以添加和删除输出。可以选择编辑输出,但由于输出没有参数或其他设置,所以没有配置任何设置。
    1. 要添加输出,请单击 Add
    2. 选择列表中的输出,然后单击确定
    3. 为输出指定名称或标识符,然后单击 OK
      此输出将在输出标签页中列出。您可以编辑它,向此输出中的参数提供值。
    要删除输出,请选择列表中的输出,然后单击 Delete
  10. 重启 CA 以应用新配置集。
    systemctl restart pki-tomcatd-nuxwdog@instance_name.service
  11. 以管理员创建配置集后,CA 代理必须在代理服务页面中批准配置集以启用该配置集。
    1. 打开 CA 的服务页面。
      https://server.example.com:8443/ca/services
    2. 单击 Manage Certificate Profiles 链接。本页列出了管理员设置的所有证书配置文件,包括活跃和不活跃状态。
    3. 点要批准的证书配置集的名称。
    4. 在页面底部,单击 启用 按钮。
注意
如果这个配置集将与 TPS 搭配使用,则必须将 TPS 配置为识别配置集类型。这在 11.1.4 中。在红帽认证系统规划、安装和部署指南中管理智能卡 CA 配置文件.
配置集的授权方法只能使用命令行添加到配置集,如红帽证书系统规划、安装和部署指南中的文件系统中直接创建和编辑证书配置集部分。