Standardmäßig akzeptiert OpenXPKI Anforderungen, ohne das Kennwort abzufragen. Die Zertifikatsanforderung wird nicht abgelehnt, und die CA und der CA-Administrator bestimmen, ob die Anforderung genehmigt oder abgelehnt werden soll. Um potenzielle Sicherheitsprobleme zu vermeiden, deaktivieren Sie diese Funktion, damit Zertifikatsanforderungen, die ungültige Kennwörter enthalten, sofort abgelehnt werden. In MVE ist Kennwort abfragen nur erforderlich, wenn das Registrierungsagent-Zertifikat generiert wird.
Ändern Sie in etc/openxpki/config.d/realm/REALM NAME/scep/generic.yaml im Abschnitt policy den Wert für allow_man_authen von 1 in 0.
Hinweise:
- REALM NAME ist der Name des Bereichs. Zum Beispiel: ca-one.
- Überprüfen Sie den Abstand und den Einzug in der Skriptdatei.
Starten Sie den OpenXPKI-Dienst mit openxpkictl restart neu.