De forma predeterminada, OpenXPKI acepta solicitudes sin comprobar la contraseña de comprobación. La solicitud de certificado no se rechaza y la CA y el administrador de la CA determinan si se debe aprobar o rechazar la solicitud. Para evitar posibles problemas de seguridad, desactive esta función de modo que se rechacen inmediatamente todas las solicitudes de certificado que contengan contraseñas no válidas. En MVE, la Contraseña de comprobación solo es necesaria cuando se genera el certificado del agente de inscripción.
En etc/openxpki/config.d/realm/REALM NAME/scep/generic.yaml, en la sección policy, cambie el valor de allow_man_authen de 1 a 0.
Notas:
- REALM NAME es el nombre de dominio. Por ejemplo, ca‑one.
- Revise el espacio y la sangría en el archivo de script.
Reinicie el servicio OpenXPKI mediante openxpkictl restart.