Cisco Systems 3.3 用户手册

How you edit your CTL determines the type of trust model you have. Many use a 
restricted trust model wherein very few, privately controlled CAs are trusted. This 
model provides the highest level of security but restricts adaptability and 
scalability. The alternative, an open trust model, allows for more CAs or public 
CAs. This open trust model trades increased security for greater adaptability and 
scalability.

We recommend that you fully understand the implications of your trust model 
before editing the CTL in Cisco Secure ACS.

Use this procedure to configure CAs on your CTL as trusted or not trusted. Before 
a CA can be configured as trusted on the CTL, you must have added the CA to the 
local certificate storage; for more information, see 

. If a user’s certificate is from a CA that you have not 

specifically configured Cisco Secure ACS to trust, authentication fails.

To edit the CTL, follow these steps:

In the navigation bar, click System Configuration.

Click Cisco Secure ACS Certificate Setup.

Click Edit Certificate Trust List.

The Edit the Certificate Trust List (CTL) table appears.

To configure a CA on your CTL as trusted, select the corresponding check box.

You can select, or deselect, as many CAs as you want. Deselecting a CA’s 
check box configures the CA as not trusted.

Click Submit.

Cisco Secure ACS configures the specified CA (or CAs) as trusted or not trusted 
in accordance with selecting or deselecting check boxes.