配置证书模板
背景信息
- 证书模板是证书颁发机构中的重要组成部分,是用于证书申请和管理的一组规则和设置。这些模板的规则和设置可以很简单也可以很复杂,从而可以用来应对所有用户的不同需求。
- 预置模板是指系统自带的模板,预置模板不可删除或修改。参数说明请参见表1,下表展示了预置模板的部分参数说明,实际配置请以页面信息为准。
表1 预置模板参数说明表 证书等级
模板名称
说明
支持密钥类型
默认密钥类型
有效期
基本约束
密钥用途
证书策略ID
使用者
根CA
ROOT_CA_PREDEFINED_RSA4096
根CA的安全性和可信任程度都是最高的,如果用户希望创建根CA证书,可使用该模板。
RSA4096
RSA4096
40年
- 紧要
- 类型:CA
- 路径长度约束:无
数字签名,CRL签名,证书签名。
2.5.29.32.0
公共名称(CN),国家/地区(C),组织名称(O),组织单位名称(OU)。
ROOT_CA_PREDEFINED_ECDSA384
ECsecp384r1
ECsecp384r1
子CA
SUB_CA_PREDEFINED_RSA4096
用于向根CA或者子CA申请子CA证书,如果用户希望构造多级CA证书链,可使用该模板。
RSA4096
RSA4096
25年
- 紧要
- 类型:CA
- 路径长度约束:0
SUB_CA_PREDEFINED_ECDSA384
ECsecp384r1
ECsecp384r1
终端实体
END_ENTITY_PREDEFINED_RSA2048
用于向根CA或者子CA申请终端实体证书,如果用户希望申请终端实体证书,可使用该模板。
RSA2048
RSA2048
2年
- 类型:终端实体
- 路径长度约束:无
数字签名,内容承诺(防抵赖),密钥加密,数据加密,密钥协商。
END_ENTITY_PREDEFINED_MULTI_KEY_TYPES
RSA2048,RSA3072,RSA4096,ECsecp256r1,ECsecp384r1
RSA2048
END_ENTITY_PREDEFINED_RSA3072
RSA3072
RSA3072
END_ENTITY_PREDEFINED_ECDSA256
ECsecp256r1
ECsecp256r1
操作步骤
- 在主菜单中选择。
- 在左侧导航树中选择。
- 单击“新增”,配置证书模板所需的各项参数。
参数说明请参见表2。
表2 证书模板参数说明表 参数
说明
取值建议
名称
证书模板的名称。
请输入1~45位字符,字符类型可以是数字、大小写字母、下划线、中划线,但不能是“null”或“all”(不区分大小写)。
缺省值:无
建议值:无
证书等级
包括根CA、子CA和终端实体。
缺省值:终端实体
建议值:终端实体
描述
证书模板的简单描述,可用于对模板补充描述以标识不同的模板。
描述长度必须为0~128个字符,由数字、大小写字母、中文、空格或标点符号(,.!:;?)组成。
缺省值:无
建议值:无
使用者
证书使用者的可识别名,包括公共名称(CN)、国家/地区(C)、邮箱(E)、组织名称(O)、组织单位名称(OU)、省/州(ST)、市/区(L)、域名构件(DC)和用户标识符(UID)。
缺省情况下,“公共名称”为必选项,且不可去勾选。在需要填写模板使用者信息时,公共名称长度必须为1~127个字符,由大小写字母、数字、空格、“-”、“:”或“.”组成。
如果勾选了“域名构件”,在需要填写模板使用者信息时,1次最多可配置4个域名构件。
缺省值:公共名称
建议值:公共名称、国家/地区、组织名称、组织单位名称
有效期
可自定义证书模板的有效期。
证书等级为根CA时,证书模板可配置的有效期为20~50年、 240~600月或7300~18250天。
证书等级为子CA时,证书模板可配置的有效期为1~50年、12~600月或365~18250天。
证书等级为终端实体时,证书模板可配置的有效期为1~50年、1~600月或1~18250天。
缺省值:2年
建议值:2年
密钥算法
使用证书模板申请证书时使用的密钥算法。
缺省值:无
建议值:RSA/ECDSA
支持密钥类型
使用证书模板申请证书时支持的密钥类型。当证书等级为“终端实体”时可多选。
缺省值:无
建议值:RSA-3072、RSA-4096、secp256r1/P-256/prime256v1、secp384r1/P-384
默认密钥类型
使用证书模板申请证书时,若证书申请请求中未提供密钥,则按照默认密钥类型生成密钥。1个证书模板只能设置1个默认密钥类型。
缺省值:无
建议值:RSA-3072
使用者密钥识别符
证书使用者的唯一标识符。
缺省值:必须
建议值:必须
颁发机构密钥识别符
含发行人和序列号
证书所含密钥的唯一标识符,用来区分同一证书颁发者的多对密钥。
缺省值:允许请求
建议值:允许请求
基本约束
基本约束用于确保证书仅在某些应用程序中使用。
缺省值:去勾选
建议值:去勾选
路径长度约束
路径长度约束扩展项为0时,表示在有效的证书路径中,该CA证书只能签发终端实体证书;路径长度约束扩展项大于0时,表示从CA证书到终端实体证书的路径中可能存在的中间子CA证书的最大数量。如果一个CA体系结构有n层,则顶层CA证书路径长度约束为n-2,向下每一层证书依次为n-3,n-4等,所得结果大于等于0。
例如:n=4,则该CA的四层体系结构为根CA > 子CA1 > 子CA2 > 终端实体证书,即根CA签发子CA1,子CA1签发子CA2,子CA2签发终端实体证书。此时根CA的路径长度为2,子CA1的路径长度为1,子CA2的路径长度为0。
说明:只有当“证书等级”为“根CA”或“子CA”时,可以设置路径长度约束。
路径长度约束必须在0~9之间。
当模板的证书等级为“根CA”时,路径长度约束缺省值为1。
当模板的证书等级为“子CA”时,路径长度约束缺省值为0。
主题备用名称
域名
证书颁发对象的别名包含域名。
如果勾选了主题备用名称,在需要填写模板主题备用名称信息时,1次最多可配置16个域名和IP地址。
缺省值:无
建议值:无
IP地址
证书颁发对象的别名包含IP地址。
证书策略
证书策略表示证书颁发的策略以及证书应用的场景。证书策略ID采用OID(对象标识符)形式,2.5.29.32.0表示任意策略。如果用户需要制定自己的证书策略,则必须创建自己的证书策略ID,该ID应根据IANA分配的企业编号进行构造,用户可以从IANA免费获取企业编号。
证书策略由证书策略ID和限定符组成,证书策略ID在一个证书的证书策略扩展项中不能重复出现;限定符用于表达依赖于该策略的细节信息,主要包含以下三种:
- 无限定符:表示该证书策略中无附加信息。
- CPS URI:CPS限定符表示指向CA发布的证书实践声明的URI地址。
- 用户通知文本:用来向证书使用者展示证书相关信息。
每个证书模板最多可创建4个证书策略。
证书策略ID长度必须在3~256之间,以0./1./2.为前缀,"."后面不能跟随0后再跟随其他数字,例如:2.5.29.32.0格式正确,2.02格式错误。
CPS URI长度必须在1~256之间。
用户通知文本长度必须在1~200之间,由数字、大小写字母、中文、空格或标点符号(,.!:;?)组成。
缺省值:去勾选
建议值:去勾选
密钥用法
数字签名
使用发布者的私钥生成的签名,常用于实体认证和数据源的完整性认证。
缺省值:勾选
建议值:勾选
内容承诺(防抵赖)
防止签署实体错误地拒绝某些已签名服务的操作。在以后发生冲突的情况下,可靠的第三方可以确定签名数据的真实性。
缺省值:去勾选
建议值:去勾选
密钥加密
在密钥传输过程中,用于加密私钥或者密钥。
缺省值:去勾选
建议值:去勾选
CRL签名
当使用者公用密钥用于验证撤销信息(如CRL)上的签名时需要用到。
缺省值:无
建议值:无
数据加密
用于加密用户重要数据而非编码密钥。
缺省值:去勾选
建议值:去勾选
证书签名
用于验证公钥证书上的签名。
缺省值:无
建议值:无
密钥协商
用于密钥协商协议。 例如,当Diffie-Hellman键是用于密钥管理,然后设置此位。
缺省值:勾选
建议值:勾选
仅加密
使用密钥,只用于执行密钥协商协议时对数据进行加密。
缺省值:去勾选
建议值:去勾选
仅解密
使用密钥,只用于执行密钥协商协议时对数据进行解密。
缺省值:去勾选
建议值:去勾选
增强型密钥用法
TLS Web服务器身份验证
TLS WWW服务器身份验证,可能一致的关键用法位:数字签名,密钥加密或密钥协商。
缺省值:去勾选
建议值:去勾选
TLS Web客户端身份验证
TLS WWW客户端身份验证,可能一致的密钥用法位:数字签名和/或密钥协商。
缺省值:去勾选
建议值:去勾选
可执行代码签名
签署可下载的可执行代码,可能一致的密钥用法位:数字签名。
缺省值:去勾选
建议值:去勾选
时间戳
将对象的哈希绑定到时间,可能一致的密钥用法位:数字签名和/或不可否认性(内容承诺)。
缺省值:去勾选
建议值:去勾选
安全电子邮件
电子邮件保护,可能一致的关键用法位:数字签名,不可否认性(内容承诺),和/或密钥加密或密钥协商。
缺省值:去勾选
建议值:去勾选
IPSEC终端系统
IP安全终端系统。
缺省值:去勾选
建议值:去勾选
IPSEC用户
IP安全用户。
缺省值:去勾选
建议值:去勾选
IPSEC通道
IP安全隧道。
缺省值:去勾选
建议值:去勾选
CRL 分发点
指CRL的发布位置,用户可以根据这个参数来获取到证书对应的CRL。
当“证书等级”为“根CA”时,不可配置。
缺省值:去勾选
建议值:去勾选
- 完成配置后,单击“提交”。
单击“重置”,清空已设置的参数值。
