Par défaut, OpenXPKI accepte les demandes sans vérifier le mot de passe de challenge. La demande de certificat n'est pas rejetée et l'administrateur de l'autorité de certification et l'autorité de certification déterminent s'il faut approuver ou rejeter la demande. Pour éviter tout problème de sécurité potentiel, désactivez cette fonction afin que toute demande de certificat contenant des mots de passe non valides soit immédiatement rejetée. Dans MVE, Mot de passe de challenge est requis uniquement lors de la génération du certificat d'agent d'inscription.
Dans etc/openxpki/config.d/realm/REALM NAME/scep/generic.yaml, à partir de la section Politique, remplacez la valeur 1 de allow_man_authen par 0.
Remarques :
- REALM NAME est le nom du domaine. Par exemple, ca‑one.
- Vérifiez l'espace et l'indentation dans le fichier de script.
Redémarrez le service OpenXPKI à l'aide de openxpkictl restart.