将 X.509 认证器添加到 Address Manager。
要添加 X.509 认证器:
- 选择管理选项卡。选项卡会记住上次处理的页面,因此请再次选择该选项卡以确保您在管理页面上。
- 在用户管理下,单击安全访问。
- 单击 X.509 认证器选项卡,然后单击新建。
-
在 X.509 认证器下,设置以下参数:
- 名称 — X.509 认证器的描述性名称。
- X.509 主服务器地址 — 主 OCSP 响应程序的 HTTP URL,用于测试客户端证书的状态。
- 启用副 X.509 验证器 — 启用辅助(备用)X.509 认证器。如果选中,则必须提供备用 OCSP 服务器的 URL。
- X.509 备用服务器地址 — 备用 OCSP 服务器的 URL。选择启用副 X.509 验证器选项时,将启用此字段。仅当无法联系主要服务器时,才会联系此服务器。
- 自定义用户前缀匹配 — 选择后,将使用客户端证书中的主题 CN 和 LDAP 验证器的用户前缀字段中指定的属性来执行 LDAP 中用户的匹配。选择自定义用户前缀匹配时,不能指定严格的 DN 匹配。
- 严格的 DN 匹配 — 选择后,将使用客户端证书中的完整主题 DN 执行 LDAP 中用户的匹配。取消选中后,将使用主题 DN 中的最终 CN(常用名)执行匹配。选择严格的 DN 匹配时,不能指定自定义用户前缀匹配。
- CA 证书 — 颁发客户端证书的 CA 的一个或多个证书。如果颁发 CA 是中间(或子)CA,则还必须存在到根 CA 并包含根 CA 的 CA 证书链。所有证书必须采用 PEM 格式,并且必须包含在单个文件(包)中。
- 单击更新。
添加 X.509 认证器后,下一步是启用 X.509 验证。