如何指定 CA Access Control 使用受密码保护的根证书

在安装 CA Access Control 时，您可以对其进行配置以使用第三方受密码保护的根证书。

在安装 CA Access Control 之后，您可以使用该根证书创建 CA Access Control 服务器证书。服务器证书用于对 CA Access Control 组件之间的通讯进行加密和验证。

要配置 CA Access Control 以使用第三方受密码保护的根证书，您必须在使用本地程序包安装 CA Access Control 时执行如下所示的一些附加步骤：

在本地程序包安装过程中自定义 params 文件时，在文件中指定以下参数：
- ENCRYPTION_METHOD_SET=2
- ROOT_CERT_PATH=root_cert_path
- ROOT_CERT_KEY=root_key_path
安装 CA Access Control 之后，执行以下操作：
1. 按如下所示使用根证书创建 CA Access Control 服务器证书，其中 ACInstallDir 是安装 CA Access Control 的目录：
```
ACInstallDir/bin/sechkey -e -sub -in /opt/CA/AccessControl/crypto/sub_cert_info -priv root_key_path -capwd password [-subpwd password]
```
  -priv root_key_path
  
  指定用于保留根证书私钥的文件。
  
  -ca password
  
  指定根证书私钥的密码。
  
  -subpwd password
  
  为服务器证书的私钥指定密码。
2. 如果为服务器密钥指定了密码，验证 CA Access Control 是否可以使用存储的密码打开该密钥：
```
ACInstallDir/bin/sechkey -g -verify
```
3. 将 crypto 部分中的 communication_mode 配置设置值更改为下列值之一：
  
  all_modes
  
  如果要同时启用对称和 SSL 加密，请指定此值。此值允许计算机与所有 CA Access Control 组件进行通讯。
  
  use_ssl
  
  指定此值将仅启用 SSL 加密。此值允许计算机仅与使用 SSL 加密的 CA Access Control 组件进行通讯。
4. 启动 CA Access Control。
  CA Access Control 将启动并使用 CA Access Control 服务器证书加密和验证通讯。

注意：有关 sechkey 实用程序的详细信息，请参阅《参考指南》。

更多信息：