默认情况下,OpenXPKI 接收请求而不检查质询密码。证书请求不会被拒绝,并且 CA 和 CA 管理员决定是否批准或拒绝请求。为避免潜在的安全隐患,请禁用此特性,以便立即拒绝所有包含无效密码的证书请求。在 MVE 中,仅当生成注册代理证书时才需要质询密码。
在 etc/openxpki/config.d/realm/REALM NAME/scep/generic.yaml 中,从 policy 部分,将 allow_man_authen 的值从 1 更改为 0。
注意:
- REALM NAME 是领域的名称。例如:ca‑one。
- 检查脚本文件中的空格和缩进。
使用 openxpkictl restart 重新启动 OpenXPKI 服务。