实施指南 › 更改通讯加密方法 › SSL、身份验证和证书 › 启用 SSL 加密 › 使用从第三方根证书生成的服务器证书

使用从第三方根证书生成的服务器证书

如果使用 SSL 加密，可以从第三方根证书创建服务器证书。 使用这些证书来对 CA ControlMinder 组件之间的通讯进行加密和身份验证。

您可以创建受密码保护的服务器证书，这样，CA ControlMinder 将使用指定的密码保护服务器证书的私钥。

需要提供下列文件才能从第三方根证书创建服务器证书：

• root.pem－根证书
• root.key－根证书的私钥

使用从第三方根证书生成的服务器证书

1. 确认 CA ControlMinder 服务已停止并且 SSL 已启用。
2. 如果使用受密码保护的 OU 证书，请确认 crypto 部分中 fips_only 配置设置的值为 0。

   注意：如果 CA ControlMinder 在仅限 FIPS 模式下运行，则不能使用受密码保护的证书。

3. 删除以下目录中除 sub_cert_info 以外的其他所有文件，其中 ACInstallDir 是 CA ControlMinder 的安装目录：

   ACInstallDir/data/crypto
   

   重要说明！ 不要删除 sub_cert_info 文件。

   将删除默认服务器证书和服务器证书的默认密钥。

4. 替换根证书。 请执行下列操作之一：
   • 将新的根证书复制到 crypto 部分中 ca_certificate 配置设置指定的位置。
   • 编辑 crypto 部分中 ca_certificate 配置设置的值，以指定新根证书的完整路径。

     注意：如果在新目录中安装根证书，请编写 CA ControlMinder FILE 规则以保护该目录。

5. 使用 sechkey 实用程序生成服务器证书。

   注意：有关 sechkey 实用程序的详细信息，请参阅《参考指南》。 必须具有 ADMIN 属性才能使用 sechkey。 如果正在使用第三方程序（该程序使用 CA ControlMinder SDK），请在运行 sechkey 时将 -s 选项附加到 sechkey 命令。

6. （可选）删除根证书的私钥。

   如果不想从根证书创建其他服务器证书，则可以删除根证书的私钥。

7. 启动 CA ControlMinder：
   • 如果要更改 CA ControlMinder 企业管理 服务器上的加密设置，还需要启动 CA ControlMinder Web 服务。
   • 如果正在使用第三方程序（该程序使用了 CA ControlMinder SDK），请重新启动使用 CA ControlMinder SDK 的进程。

   SSL 加密已启用。

示例：使用 sechkey 创建服务器证书

该示例从第三方根证书创建服务器证书。 该示例使用默认的 CA ControlMinder 证书信息文件。 根证书的私钥名为 custom_root.key，位于 /opt/CA/AccessControl/data/crypto 下：

sechkey -e -sub -in "/opt/CA/AccessControl/data/crypto/sub_cert_info" -priv /opt/CA/AccessControl/data/crypto/custom_root.key