17.6 颁发公共密钥证书

您的组织证书颁发机构的工作方式与外部 CA 相同。这意味着,它能够从证书签名请求 (CSR) 颁发证书。当用户将 CSR 发送给您进行签名时,您可以使用您的组织证书颁发机构颁发证书。然后,请求证书的用户可以将颁发的证书直接导入启用加密法的应用程序。

此任务允许您为无法识别服务器证书对象的启用加密法的应用程序生成证书。

要颁发证书,执行下列操作:

  1. 在 Identity Console 登录页中单击证书管理 > 颁发证书选项。

  2. 浏览并选择 CSR 文件。

  3. 在密钥用法规范下选择适当的密钥类型和相应的密钥用法。这些选项允许您选择密钥类型。每种密钥类型均已预先定义了与之相关的密钥用法值:

    1. 未指定: 此选项为默认选择,它不会激活证书中的任何密钥用法。

    2. 证书颁发机构: 此选项激活证书签名和 CRL 签名密钥用法。

    3. 加密: 此选项激活“密钥加密”密钥用法。

    4. 签名: 此选项激活“数字签名”密钥用法。

    5. SSL 或 TSL: 此选项配置密钥,使其可以在 SSL 或 TLS 事务中使用。

    6. 自定义: 此选项允许您手动选择任意或所有密钥用法选项。

    7. 将密钥用法扩展设置为关键: 除选择未指定的密钥类型外,所有密钥类型都可以将密钥用法扩展标记为关键。无论要将证书用于何种用途,接收软件都必须理解所有关键扩展。因此,将扩展标记为关键确实存在一定的风险,因为并非所有应用程序都能使用该证书。但对于密钥使用这类众所周知的扩展,这种风险很小。通常,如果已指定密钥使用,则应将扩展标记为关键。

  4. 您可以选择在证书中编码扩展密钥用法扩展。要激活此功能,选择启用扩展密钥用法

    1. 服务器: 此选项激活服务器鉴定扩展密钥用法。

    2. 用户: 此选项激活用户鉴定和电子邮件保护扩展密钥用法。

    3. 自定义: 此选项允许您选择任意或所有扩展密钥用法。

    4. 任何: 使密钥可用于任意扩展密钥用法。

    5. 将扩展的密钥用法扩展设置为关键: 无论要将证书用于何种用途,接收软件都必须理解所有关键扩展。因此,将扩展标记为关键确实存在一定的风险,因为并非所有应用程序都能使用该证书。由于许多应用程序都不理解扩展密钥使用扩展,因此,将此扩展标记为关键很可能会导致给定应用程序不接受该证书;所以,应该仅在必要时才将扩展设置为关键。

  5. 选择适当的基本约束

    1. 证书类型:

      1. 未指定: 如果不希望向证书添加基本限制扩展,可选择此选项。

      2. 证书颁发机构: 选择此选项可向证书中添加证书颁发机构基本限制扩展。 如果证书用于证书颁发机构,则必须选择此选项。

      3. 最终实体: 选择此选项可向证书添加基本限制扩展,指定这是最终实体(不是证书颁发机构)证书。 注意:如果证书类型为“最终实体”,则路径长度应设置为“未指定”。

    2. 路径长度:

      1. 未指定: 如果不想指定在此 CA 下可创建多少级从属 CA,可选择此选项。

        注:如果证书类型为“最终实体”,则路径长度只能设置为“未指定”。

      2. 特定: 如果要指定在此 CA 下可创建多少级从属 CA,可选择此选项。 单击向上箭头和向下箭头指定路径长度。

        注:如果创建的证书是从属证书颁发机构,则路径长度必须与上级证书颁发机构一致。例如,如果上级 CA 的路径长度为 3,则从属 CA 的路径长度必须小于或等于 2。 如果上级 CA 的路径长度未指定,则从属 CA 的路径长度也为未指定或任何所需的具体路径长度。

    3. 将基本约束扩展设置为关键: 通常,对于 CA 证书,必须将基本限制扩展设置为关键。 无论要将证书用于何种用途,接收软件都必须理解所有关键扩展。因此,将扩展标记为关键确实存在一定的风险,因为并非所有应用程序都能使用该证书。但对于基本限制这类众所周知的扩展,这种风险很小。

  6. 指定以下证书参数:

    1. 主题名称: 显示 eDirectory 树的完整类型名。

    2. 主题名称: 显示 eDirectory 树的完整类型名。

    3. 有效期: 使用该下拉列表可指定证书的有效期。有效期最短为 6 个月,最长到公元 2036 年(基于 32 位时间值的时间限制)。 如果选择“指定日期”选项,则可编辑“生效日期”和“失效日期”字段,以创建自定义的有效期。选定的最大日期必须在 CA 的有效期内。

      1. 生效日期: 使您可以显示或编辑证书有效的时间和日期。

      2. 失效日期: 使您可以显示或编辑证书无效的时间和日期。

    4. 自定义扩展: 使证书服务器支持要在创建证书时包含的任何标准扩展或自定义扩展。必须已经提前创建扩展并将其存储在文件中(一个文件中存储一个扩展)。任何扩展都必须采取 ASN.1 编码形式,如 IETF RFC 2459/3280 4.2 节所定义。

      如果要在创建的证书中包含一个或多个自定义扩展,请单击“新建”,然后浏览包含自定义扩展的文件并将其添加到证书中。 重复此过程可添加多个扩展。

      要删除自定义扩展文件,先将其选中,然后单击 图标。

  7. 从以下选项中选择相应的证书格式:

    1. 二进制 DER 格式的文件: 此选项可以保存证书或将证书导出到文件名字段中显示的文件。默认情况下,证书文件以 .DER 扩展名导出到基于 Windows 的 Identity Console 工作站和基于 Linux 的 Identity Console 工作站的用户主目录中的驱动器 C: 的根目录。

    2. Base64 格式的文件: 此选项可以将 CSR 保存到或将证书导出到文件名字段中显示的文件。默认情况下,证书和 CSR 文件以 .B64 扩展名导出到基于 Windows 的 Identity Console 工作站和基于 Linux 的 Identity Console 工作站的用户主目录中的驱动器 C: 的根目录。

    3. CER 格式的文件: 此选项可以将 CSR 保存到或将证书导出到文件名字段中显示的文件。默认情况下,证书和 CSR 文件以 .CER 扩展名导出到基于 Windows 的 Identity Console 工作站和基于 Linux 的 Identity Console 工作站的用户主目录中的驱动器 C: 的根目录。

  8. 在下一个屏幕中查看证书摘要,然后单击确定

  9. 此时显示一条确认讯息,指示成功颁发证书。

图 17-6 颁发公共密钥证书