3.5.2. 在配置集中设置 Signing Algorithm Default

每个配置集都定义了一个 Signing Algorithm Default 扩展。默认有两个设置:如果证书请求指定了不同的算法,则默认算法和允许的算法列表。如果没有指定签名算法,则配置集会使用任何设置为 CA 的默认设置。
在配置集的 .cfg 文件中,算法设置了两个参数:
policyset.cmcUserCertSet.8.constraint.class_id=signingAlgConstraintImpl
policyset.cmcUserCertSet.8.constraint.name=No Constraint
policyset.cmcUserCertSet.8.constraint.params.signingAlgsAllowed=SHA256withRSA,SHA512withRSA,SHA256withEC,SHA384withRSA,SHA384withEC,SHA512withEC
policyset.cmcUserCertSet.8.default.class_id=signingAlgDefaultImpl
policyset.cmcUserCertSet.8.default.name=Signing Alg
policyset.cmcUserCertSet.8.default.params.signingAlg=-
通过控制台配置 Signing Algorithm Default:
注意
在编辑配置集前,必须先由代理禁用它。
  1. 打开 CA 控制台。
    pkiconsole https://server.example.com:8443/ca
  2. Configuration 选项卡中,展开 证书管理器树
  3. 单击 Certificate Profiles 项。
  4. Policies 标签页。
  5. 选择 Signing Alg 策略,然后单击 Edit 按钮。
  6. 要设置默认的签名算法,请在 Defaults 选项卡中设置值。如果设为 -,则配置集将使用 CA 的默认。
  7. 要设置一个可以在证书请求中接受的允许签名算法列表,打开 Constraints 标签页,然后在 Sign AlgsAllowedValue 字段中设置算法列表。
    约束的可能值列在 第 B.2.10 节 “签名算法” 中。