实施指南 › 安装和自定义 UNIX 端点 › 本地安装 › 本地安装的其他注意事项 › 如何指定 CA ControlMinder 使用受密码保护的根证书

如何指定 CA ControlMinder 使用受密码保护的根证书

在安装 CA ControlMinder 时，您可以对其进行配置以使用第三方受密码保护的根证书。

在安装 CA ControlMinder 之后，您可以使用该根证书创建 CA ControlMinder 服务器证书。 服务器证书用于对 CA ControlMinder 组件之间的通讯进行加密和验证。

要配置 CA ControlMinder 以使用第三方受密码保护的根证书，您必须在使用本地程序包安装 CA ControlMinder 时执行如下所示的一些附加步骤：

1. 在本地程序包安装过程中自定义 params 文件时，在文件中指定以下参数：
   • ENCRYPTION_METHOD_SET=2
   • ROOT_CERT_PATH=root_cert_path
   • ROOT_CERT_KEY=root_key_path
2. 安装 CA ControlMinder 之后，执行以下操作：
   1. 按如下所示使用根证书创建 CA ControlMinder 服务器证书，其中 ACInstallDir 是安装 CA ControlMinder 的目录：

      ACInstallDir/bin/sechkey -e -sub -in /opt/CA/AccessControl/crypto/sub_cert_info -priv root_key_path -capwd password [-subpwd password]
      

      -priv root_key_path

      指定用于保留根证书私钥的文件。

      -ca password

      指定根证书私钥的密码。

      -subpwd password

      为服务器证书的私钥指定密码。

   2. 如果为服务器密钥指定了密码，验证 CA ControlMinder 是否可以使用存储的密码打开该密钥：

      ACInstallDir/bin/sechkey -g -verify
      

   3. 将 crypto 部分中的 communication_mode 配置设置值更改为下列值之一：

      all_modes

      如果要同时启用对称和 SSL 加密，请指定此值。 此值允许计算机与所有 CA ControlMinder 组件进行通讯。

      use_ssl

      指定此值将仅启用 SSL 加密。 此值允许计算机仅与使用 SSL 加密的 CA ControlMinder 组件进行通讯。

   4. 启动 CA ControlMinder。

      CA ControlMinder 将启动并使用 CA ControlMinder 服务器证书加密和验证通讯。

注意：有关 sechkey 实用程序的详细信息，请参阅《参考指南》。

更多信息：

sechkey 实用程序－配置 X.509 证书