创建证书请求数据库

所创建的每个因特网验证者都需要一个“证书请求”数据库 (CERTREQ.NSF) 来管理服务器密钥环文件,并允许用户通过浏览器或电子邮件请求客户机证书。此数据库存储活动证书和已提交到管理进程进行处理的撤销请求。服务器和客户机可以使用基于浏览器的界面请求证书,并获得发布的证书。

关于此任务

可以将“证书请求”数据库存储在域内的任何服务器上,包括位于网络防火墙之外的服务器。

有关使用“证书请求”数据库来处理证书请求的更多信息,请参阅相关信息。

过程

  1. 选择文件 > 应用程序 > 新建,然后选择要存储“证书请求”数据库的服务器。
  2. 输入数据库标题,例如 Certificate Requests
  3. 输入文件名,例如 certreq.nsf
  4. 选择“证书请求”模板 (CERTREQ.NTF)。
  5. 单击确定。“证书请求”数据库创建出来后将打开,并出现“关于...”文档。
  6. 关闭“关于...”文档,这将显示“数据库配置”表单。
  7. 数据库管理部分中,填写以下字段:
    1. “数据库管理”部分

    字段

    操作

    支持的 CA

    执行以下操作:

    1. 服务器字段中,输入托管因特网验证者的服务器的名称。
    2. 验证者字段中,输入要与“证书请求”数据库关联的因特网验证者的名称。

    支持的证书类型

    选择以下某个选项:

    • 仅客户机证书 - 如果验证者将发布客户机因特网证书,请选择此选项。如果需要为 TLS 创建服务器密钥环,不要选择此选项。如果选择了此选项,那么必须定制客户机请求。
    • 仅服务器证书 - 如果验证者将发布服务器因特网证书,请选择此选项。如果选择了此选项,那么必须定制服务器请求。
    • 客户机和服务器证书 - 如果验证者将同时发布客户机和服务器因特网证书,请选择此选项。如果选择了此选项,那么需要同时定制服务器和客户机请求。
  8. 可选: 客户机请求定制部分中,填写以下字段:
    2. “客户机请求定制”部分

    字段

    操作

    有效期

    输入用此数据库生成的客户机请求的有效期限(年)。从请求提交的时间开始算起。缺省值为 1 年。

    密钥用法

    选择将在使用此数据库生成的客户机证书请求中提交的缺省密钥用法。缺省设置为“密钥加密”和“数字签名”,这对于客户机的 S/MIME 证书而言已经足够。

    扩展密钥用法

    选择将在使用此数据库生成的客户机证书请求中提交的缺省扩展密钥用法。缺省设置为“客户机认证”和“电子邮件保护”。

  9. 可选: 服务器请求定制部分,填写以下字段:
    3. “服务器请求定制”字段

    字段

    操作

    有效期

    输入用此数据库生成的服务器请求的有效期限(年),从请求提交的时间开始算起。缺省值为 1 年。

    密钥用法

    选择将在使用此数据库生成的服务器证书请求中提交的缺省密钥用法。缺省设置为“密钥加密”和“数字签名”,这对于 TLS 服务器证书而言已经足够。

    扩展密钥用法

    将在使用此数据库生成的服务器证书请求中提交的缺省扩展密钥用法。缺省设置为“服务器认证”。

  10. 对于处理方法,选择将请求提交到管理进程的方法:
    • 手动(缺省值)- 如果希望管理员复审提交到“证书请求”数据库中的请求,以分别核准或拒绝各请求后,再将其提交到“管理请求”数据库 (admin4.nsf) 中作进一步处理,请选择此选项。
    • 自动 - 选择此选项可使提交到“管理请求”数据库中的请求无需管理员干预即得到处理。将根据证书策略核准或拒绝请求。如果选择此方法,将显示自动传输服务器字段,您需要在此字段中指定运行管理进程以及证书请求将自动传输到的服务器。
      注: 如果选择“自动”方法,管理员(代理程序的签名者)必须在可以在服务器上运行不受限的方法和操作的用户组中列出。此操作可以在“服务器”文档的“安全性”选项卡中进行。指定的传输服务器上还必须存在“证书请求”数据库的副本。
  11. 对于邮件通知,选择证书请求由 CA 处理后是否发送电子邮件通知:
    • 是(缺省值)- 如果希望证书请求由 CA 处理后通过电子邮件通知请求者,请选择此选项。
    • 否 - 如果不希望证书请求由 CA 处理后通过电子邮件通知请求者,请选择此选项。
  12. 单击保存并关闭