映射样例

certmap.conf 文件应至少包含一个条目。以下示例说明了 certmap.conf 的不同使用方法。

示例 #1 仅带有一个默认映射的 certmap.conf 文件

certmap default defaultdefault:DNComps ou, o, cdefault:FilterComps e, uiddefault:verifycert on

使用本示例，服务器可以在包含 ou=orgunit, o=org, c=country 条目的 LDAP 分支点处开始搜索，其中斜体文本将替换为客户机证书中主题 DN 的值。

然后，服务器将使用证书中的电子邮件地址和用户 ID 的值在 LDAP 目录中搜索匹配的条目。找到匹配的条目时，服务器将比较客户机发送的证书和存储在目录中的证书，以验证该证书。

示例 #2 带有两个映射的 certmap.conf 文件

以下示例文件中包括两个映射：一个是默认映射，另一个用于美国邮政总局 (US Postal Service)。

certmap default defaultdefault:DNCompsdefault:FilterComps e, uid

certmap usps ou=United States Postal Service, o=usps, c=USusps:DNComps ou,o,cusps:FilterComps eusps:verifycert on

如果服务器收到的证书来自美国邮电总局以外的其他用户，服务器将使用默认映射，即从 LDAP 树的顶端启动并搜索与客户机电子邮件和用户 ID 相匹配的条目。如果证书来自美国邮电总局，服务器将从包含组织单位的 LDAP 分支启动并搜索匹配的电子邮件地址。服务器还将验证该证书。其他证书不会进行验证。

证书中的颁发者 DN（即 CA 的信息）必须与映射的第一行中所列的颁发者 DN 一致。在以上示例中，来自颁发者 DN（即 o=United States Postal Service,c=US）的证书就不匹配，因为 DN 的 o 和 c 属性之间没有空格。

示例 #3 搜索 LDAP 数据库

以下示例使用 CmapLdapAttr 属性在 LDAP 数据库中搜索名为 certSubjectDN 的特性，该特性的值与从客户机证书获取的整个主题 DN 完全匹配。本示例假定 LDAP 目录中包含带有 certSubjectDN 属性的条目

certmap myco ou=My Company Inc, o=myco, c=USmyco:CmapLdapAttr certSubjectDNmyco:DNComps o, c myco:FilterComps mail, uid myco:verifycert on

如果客户机证书主题为：

uid=Walt Whitman, o=LeavesOfGrass Inc, c=US

服务器将首先搜索包含以下信息的条目：

certSubjectDN=uid=Walt Whitman, o=LeavesOfGrass Inc, c=US

如果找到了一个或多个匹配的条目，服务器将继续验证各条目。如果未找到匹配的条目，服务器将使用 DNComps 和 FilterComps 搜索匹配的条目。在本示例中，服务器会在 o=LeavesOfGrass Inc, c=US 下的所有条目中搜索 uid=Walt Whitman。