实施指南 › 更改通讯加密方法 › SSL、身份验证和证书 › 启用 SSL 加密 › 使用第三方根证书和服务器证书

使用第三方根证书和服务器证书

如果使用 SSL 加密，则可以使用第三方根证书和服务器证书来对 CA ControlMinder 组件之间的通讯进行加密和身份验证。

需要提供以下文件才能使用第三方根证书和服务器证书：

• root.pem－根证书
• server.pem－服务器证书
• server.key－服务器证书的私钥

  如果使用受密码保护的 OU 服务器证书，则还需要服务器证书的私钥密码。

注意：由于已创建服务器证书，因此不需要根证书的私钥。

使用第三方根证书和服务器证书

1. 确认 CA ControlMinder 服务已停止并且 SSL 已启用。
2. 替换根证书。 请执行下列操作之一：
   • 将新的根证书复制到 crypto 部分中 ca_certificate 配置设置指定的位置。
   • 编辑 crypto 部分中 ca_certificate 配置设置的值，以指定新根证书的完整路径。

     注意：如果在新目录中安装根证书，请编写 CA ControlMinder FILE 规则以保护新目录。

3. 替换服务器证书。 请执行下列操作之一：
   • 将新的服务器证书复制到 crypto 部分中 subject_certificate 配置设置指定的位置。
   • 编辑 crypto 部分中 subject_certificate 配置设置的值，以指定新服务器证书的完整路径。

     注意：如果在新目录中安装服务器证书，请写入 CA ControlMinder FILE 规则以保护新目录。

4. 替换服务器密钥。 请执行下列操作之一：
   • 将新的服务器密钥复制到 crypto 部分中 private_key 配置设置指定的位置。
   • 编辑 crypto 部分中 private_key 配置设置的值，以指定新服务器密钥的完整路径。

     注意：如果在新目录中安装服务器密钥，请编写 CA ControlMinder FILE 规则以保护新目录。

5. 如果使用受密码保护的 OU 证书，请执行以下操作：
   1. 确认 crypto 部分中 fips_only 配置设置的值为 0。

      注意：如果 CA ControlMinder 在仅限 FIPS 模式下运行，则不能使用受密码保护的证书。

   2. 按如下方法在计算机上存储服务器证书私钥的密码：

      sechkey -g -subpwd private_key_password
      

      注意：必须配置 ADMIN 属性才能使用 sechkey。

   3. 验证 CA ControlMinder 是否可以使用已存储的密码来打开私钥：

      sechkey -g -verify
      

      如果 CA ControlMinder 无法打开密钥，则重复步骤 b 并指定正确的密码。

   注意：有关 sechkey 实用程序的详细信息，请参阅《参考指南》。

6. 启动 CA ControlMinder：
   • 如果要更改 CA ControlMinder 企业管理 服务器上的加密设置，还需要启动 CA ControlMinder Web 服务。
   • 如果正在使用第三方程序（该程序使用了 CA ControlMinder SDK），请重新启动使用 CA ControlMinder SDK 的进程。

   SSL 加密已启用。