13Step 2: Update the Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479Getting an SSL Client Certificate for a Subsystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480Setting Up Cipher Preferences for SSL Communications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482SSL Ciphers Supported in Certificate Management System . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482Configuring the Server to Use Specific Ciphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484Getting New Certificates for the Subsystems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485Step 1. Plan for the New Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486Step 2. Request the New Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489Step 3. Install the New Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489Step 4. Deploy the New Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490Deploying Certificate Manager’s CA Signing Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490Deploying Registration Manager’s Signing Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491Deploying Data Recovery Manager’s Transport Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492Deploying a Subsystem’s SSL Server Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493Renewing Certificates for the Subsystems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494Step 1. Plan for Certificate Renewal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495Step 2. Renew the Existing Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496Step 3. Install the Renewed Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497Step 4. Deploy the Renewed Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497Deploying Certificate Manager’s Renewed CA Signing Certificate . . . . . . . . . . . . . . . . . . . . . . 498Deploying Registration Manager’s Renewed Signing Certificate . . . . . . . . . . . . . . . . . . . . . . . . 498Deploying Data Recovery Manager’s Renewed Transport Certificate . . . . . . . . . . . . . . . . . . . . 499Deploying a Subsystem’s Renewed SSL Server Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501Step 5. Restart the Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501Managing the Certificate Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502Viewing the Certificate Database Content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502Deleting a Certificate From the Certificate Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504Changing the Trust Settings of a CA Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505Installing a New CA Certificate in the Certificate Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507Installing a CA Certificate Chain in the Certificate Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508Chapter 15 Setting Up End-User Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509Introduction to Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509Privileged-User Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510Authentication of Administrators . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510Authentication of Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512End-Entity Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515Authentication of End Entities During Certificate Enrollment . . . . . . . . . . . . . . . . . . . . . . . . . . 515Authentication of End Users During Certificate Renewal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515Authentication of End Users During Certificate Revocation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517Configuring Authentication for End-User Enrollment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521Step 1. Before You Begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522Step 2. Set Up the Directory for PIN-Based Enrollment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523