建立憑證申請資料庫

您建立的每一個網際網路發證者都需要「憑證申請」資料庫(CERTREQ.NSF),以管理伺服器金鑰環檔案,並容許使用者從瀏覽器或透過電子郵件來申請用戶端憑證。此資料庫儲存已經向「管理程序」提出之作用中憑證及取消要求,以供處理。使用以瀏覽器為基礎的介面,伺服器及用戶端會要求憑證及選取已發出的憑證。

執行這項作業的原因和時機

您可以將「憑證申請」資料庫儲存在網域中的任何伺服器上,包括位於網路防火牆之外的伺服器。

如需使用「憑證申請」資料庫處理憑證申請的相關資訊,請參閱相關資訊。

程序

  1. 選擇「檔案 > 應用程式 > 新建」,然後選取要儲存「憑證申請」資料庫的伺服器。
  2. 輸入資料庫標題,例如憑證申請
  3. 輸入檔名,例如 certreq.nsf
  4. 選擇「憑證申請」範本 (CERTREQ.NTF)。
  5. 按一下「確定」。當「憑證申請」資料庫已建立時,則它會開啟,並顯示「關於...」文件。
  6. 關閉「關於...」文件,即會顯示「資料庫配置」表單。
  7. 「資料庫管理」區段中,完成下列欄位:
    1. 資料庫管理區段

    欄位

    動作

    支援的 CA

    執行下列動作:

    1. 「伺服器」欄位中,輸入主控網際網路發證者的伺服器名稱。
    2. 「發證者」欄位中,輸入與「憑證申請」資料庫相關聯的網際網路發證者名稱。

    支援的憑證類型

    請選擇其中一項:

    • 僅用戶端憑證:如果發證者將發出用戶端網際網路憑證,請選取此選項。如果您要為 SSL 建立伺服器金鑰環,則不選取此選項。如果您選取此選項,則必須自訂用戶端要求。
    • 僅伺服器憑證:如果發證者將發出伺服器網際網路憑證,請選取此選項。如果您選取此選項,則必須自訂伺服器要求。
    • 用戶端及伺服器憑證:如果發證者將發出用戶端及伺服器網際網路憑證,請選取此選項。如果您選取此選項,則需要自訂伺服器及用戶端要求。
  8. 選擇性的: 「用戶端要求自訂」區段中,完成下列欄位:
    2. 用戶端要求自訂區段

    欄位

    動作

    有效期間

    輸入使用此資料庫產生之用戶端要求將指定的年數作為有效期間,以要求提出時開始。預設值是 1 年。

    金鑰用法

    選擇在由此資料庫產生之用戶端憑證申請中提出的預設金鑰用法。預設設定是「金鑰加密」及「數位簽章」,它們對於用戶端 S/MIME 憑證已足夠。

    擴充金鑰用法

    選擇將在由此資料庫產生之用戶端憑證申請中提出的預設擴充金鑰用法。預設設定是「用戶端鑑別」及「電子郵件保護」。

  9. 選擇性的: 「伺服器要求自訂」區段中,完成下列欄位:
    3. 伺服器要求自訂欄位

    欄位

    動作

    有效期間

    輸入使用此資料庫產生之伺服器要求將指定的年數作為有效期間,以要求提出時開始。預設值是 1 年。

    金鑰用法

    選擇將在由此資料庫產生之伺服器憑證申請中提出的預設金鑰用法。預設設定是「金鑰加密」及「數位簽章」,它們對於 SSL 伺服器憑證已足夠。

    擴充金鑰用法

    將在由此資料庫產生之伺服器憑證申請中提出的預設擴充金鑰用法。預設是「伺服器鑑別」。

  10. 對於「處理方法」,請選擇向「管理程序」提出申請的方法:
    • 手動(預設值):如果您希望管理員先檢閱提交到「憑證申請」的申請,個別地核准或拒絕每一個申請,然後才提交到「管理要求」資料庫(admin4.nsf) 以進一步處理,請選擇此選項。
    • 自動:選擇此選項,無需管理員介入即可處理向「管理要求」資料庫提出的要求。會根據憑證原則來核准或拒絕要求。如果選擇此方法,即會出現「自動傳送伺服器」欄位,您需要在該欄位中指定執行管理程序的伺服器,並將憑證申請自動傳送到該欄位中。
      註: 如果選擇「自動」方法,則必須將管理員(代理程式的簽章者)列出在可在伺服器上執行不受限之方法及作業的使用者群組中。可在「伺服器」文件的「安全性」標籤中設定此選項。在指定的傳送伺服器上亦必須有「憑證申請」資料庫的抄本。
  11. 對於「郵件通知」,請在 CA 已處理憑證申請後選擇是否傳送電子郵件通知。
    • 是(預設值):如果您要在 CA 已處理憑證申請後利用電子郵件通知要求者,請選擇此選項。
    • 否:如果您不想在 CA 已處理憑證申請後利用電子郵件通知要求者,請選擇此選項。
  12. 按一下「儲存並關閉」