5.8.2. 配置 SCEP 安全设置

管理员可通过几个不同的参数来设置 SCEP 连接的特定安全要求,如不使用相同的证书注册和常规证书注册,或者设置允许的加密算法以防止降级连接强度。这些参数在 表 5.2 “SCEP 安全性的配置参数” 中列出。

表 5.2. SCEP 安全性的配置参数

参数 描述
ca.scep.encryptionAlgorithm 设置默认或首选的加密算法。
ca.scep.allowedEncryptionAlgorithms 设定以逗号分隔的加密算法列表。
ca.scep.hashAlgorithm 设置默认值或首选的哈希算法。
ca.scep.allowedHashAlgorithms 设定以逗号分隔的允许哈希算法列表。
ca.scep.nickname 为 SCEP 通信提供证书的别名。除非设置了此参数,否则默认值是使用 CA 的密钥对和证书。
ca.scep.nonceSizeLimit 设定 SCEP 请求的最大值(以字节为单位)。默认值为 16 字节。
为 SCEP 注册设置安全设置:
  1. 停止 CA 服务器,以便您可以编辑配置文件。
    systemctl stop pki-tomcatd@instance_name.service
  2. 打开 CA 的 CS.cfg 文件。
    vim /var/lib/pki/instance_name/ca/conf/CS.cfg
  3. 设置所需的安全参数,如 表 5.2 “SCEP 安全性的配置参数” 中列出的。如果参数不存在,则将其添加到 CS.cfg 文件中。
    ca.scep.encryptionAlgorithm=DES3
    ca.scep.allowedEncryptionAlgorithms=DES3
    ca.scep.hashAlgorithm=SHA1
    ca.scep.allowedHashAlgorithms=SHA1,SHA256,SHA512
    ca.scep.nickname=Server-Cert
    ca.scep.nonceSizeLimit=20
  4. 重启 CA 服务器。
    systemctl start pki-tomcatd@instance_name.service