5.6.3. 实际 CMC 注册方案

这部分论述了频繁实际的使用场景及其工作流，以便 CA 管理员决定使用哪个 CMC 方法。

有关使用 CMC 注册证书的常规过程，请参阅第 5.6.2 节 “CMC 注册过程”。

如果 LDAP 或 web 服务器等服务需要 TLS 服务器证书，则此服务器的管理员会根据服务的文档创建一个 CSR，并将其发送到 CA 的代理进行批准。将第 5.6.2 节 “CMC 注册过程” 中描述的步骤用于此过程。另外，请考虑以下要求：

注册配置集

代理必须使用第 9.3 节 “CMC 身份验证插件” 中列出的现有 CMC 配置集之一，或者创建一个使用 CMCAuth 身份验证机制的自定义配置集。

CMC 签署证书

对于系统证书，CA 代理必须生成并签署 CMC 请求。为此，请将 CMCRequest 配置文件中的 nickname 参数设置为 CA 代理的 nickname。

注意

CA 代理必须有权访问自己的私钥。

HttpClient TLS Client Nickname

在 CMCRequest 实用程序配置文件中，使用与 HttpClient 配置文件中的 TLS 客户端身份验证相同的证书。

HttpClient servlet Parameter

传递给 HttpClient 工具的配置文件中的 servlet 是指处理请求的 CMC servlet 和注册配置文件。

根据您请求的证书类型，在上一步中创建的配置文件中添加以下条目之一：

对于 CA 签名证书：

servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCcaCert

对于 KRA 传输证书：

servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCkraTransportCert

对于 OCSP 签名证书：

servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCocspCert

对于审计签名证书：

servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCauditSigningCert

对于子系统证书：

对于 RSA 证书：

servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCsubsystemCert

对于 ECC 证书：

servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCECCsubsystemCert

对于 TLS 服务器证书：

对于 RSA 证书：

servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCserverCert

对于 ECC 证书：

servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caCMCECCserverCert

对于管理员证书：

servlet=/ca/ee/ca/profileSubmitCMCFull?profileId=caFullCMCUserCert

详情：

Select Your Language