EJBCA/EJBCA的使用

来自站长百科
跳转至: 导航、​ 搜索

EJBCA | EJBCA安装 | EJBCA使用

EJBCA是一个全功能的CA系统软件,它基于J2EE技术,并提供了一个强大的、高性能并基于组件的CA。EJBCA兼具灵活性和平台独立性,能够独立使用,也能和任何J2EE 应用程序集成。

启动[ ]

双击:ejbca/run.cmd 这是会出现一个Dos窗口来启动Jboss,同时也启动了ejbca.最后的时候会出现两个端口:8080, 8443。这时就可以了。登陆管理界面:用本机浏览器输入 

http://sdu-hci-vr:8080/ejbca

注意:点击administrate,进入管理界面(一定要在本机,其他机器上没有superadmin的证书)

增加一个证书用户[ ]

  • 进入adminweb之后,点Add End Entity。在文本框里填上对应的用户信息,在require下面打上对号的,表示必须要填。现在有两个CA可以选择,一般用SDUCA.Token表示证书方式,User Generated表示由用户来生成密钥对;jks,p12,pem应该表示生成的证书格式。由于系统问题
  • 用户下载自己的证书有两个地方,一个是为browser下,http://sdu-hci-vr:8080/ejbca/publicweb/apply/index.html中点for yourbrower,这种方式下载时,一般由CA生成密钥对,然后将私钥,证书以及根证书以pem的格式,或者以p12的格式(格式内容不清楚)来发给你。用户要输入在end entity表中填入的username 和密码来取得证书。另一个是为server的,在上述的网页中点击manually for server.这时你需要先生成证书请求,然后让CA给数字签名即可。

证书[ ]

证书有三部分: 管理,证书申请和发放,证书检测。

  • Basic Functions :可以看根证书信息
  • 发crl 有bug,连接不可用,但是不影响 Edit Certificate Profiles :
  1. 证书配置文件,先敲一个profile的名字,点add。这时会把它加上。选择它之后,点edit,即可以配置。
  2. 改功能主要是限制证书功能,例如发安全Email,或者SSL连接。还有证书有效期。
  3. Edit Publishers :这个是配置LDAP的地方。
  4. Edit Certificate Authorities : 生成新的CA的地方,在ejbca中可以生成多个根CA。

和lcg的对接[ ]

首先,我们需要以下一些证书:ce的server证书,ui的server证书以及客户的证书。在实验过程中,我们都是使用manually for a server的方式来生成证书,它的特点是由用户生成密钥对,密钥由自己保留,同时自己生成证书请求,让ejbca来签发。

注意事项:生成密钥对和证书请求。(拷一些命令就行)

  • 生成证书密钥:
  1. date > .rnd
  2. openssl genrsa -rand .rnd -out user-key.pem 1024 (不带口令保护,用于主机)
  3. openssl genrsa -des3 -rand .rnd -out user-key.pem 1024 (带口令保护,用于普通用户)
  • 生成证书请求 openssl req -new -nodes -key user-key.pem -out user-req.pem –config/usr/share/ssl/openssl.cnf

在提交证书申请之后时,我们用了如下一些选项,来把用户加到系统的数据库,但是不知道如果选项有缺漏会不会证书失效。 对于server ,CN一定要为机器名(hostname)。 

/C=CN/ST=ShanDong/L=JiNan/O=SDU/OU=HPCC/CN=ce.lcg.grid.sdu.edu.cn email=shenjb@126.com

由于ejbca的Web界面无法用大写字母,我们只好用cmd来建用户。 ra adduser 回车后,会出现提示,按此提示来输入。

在Token里面,要选用User Generated,这表明是使用用户自己产生的密钥对来生成证书。否则,该CA会再给你生成一对密钥。

下面是如何在客户端配置。(就是怎么样把证书和密钥放好,修改好配置文件。)

  • 使lcg信任该ca中心, 将ca中心的根证书保存为cacert.pem.为了使各个NODE承认该CA中心,我们必须将该CA的有关信息(三个文件,.0,.r0和.signing_policy)存放在各个NODE的/etc/grid-security/certificates/目录下面:
  1. 获取CA的hash,记为 openssl x509 -in cacert.pem -noout –hash 将CA的证书cacert.pem改名为.0即可。
  2. 获取CRL,将crl文件改名为.r0即可。
  3. 手动创建一个.signing_policy #CA in SDU-HPCC access_id_CA X509 /CN=SDUCA/O=HPCC/C=CN pos_rights globus CA:sign cond_subjects globus "/CN=*"
  4. 将ce和ui的证书改名为hostcert.pem,私钥改名为hostkey.pem放到/etc/grid-security/下面

注意:证书权限为444,密钥为400.reboot!

  • 将用户证书放到用户home下的.globus目录下,改名为usercert.pem,私钥为userkey.pem,注意权限,与主机证书密钥相同.
  • 在ce和ui上为用户生成grid-mapfile.(见lcg文档)

参考来源[ ]

http://blog.csdn.net/sunrisefe/archive/2005/08/12/452648.aspx

EJBCA使用手册导航

EJBCA安装

EJBCA安装 | EJBCA+JBOSS+Oracle安装

EJBCA使用

EJBCA的使用 | 使用EJBCA证书服务的工作整理 | 管理员使用指南

取自“https://www.zzbaike.com/wiki/index.php?title=EJBCA/EJBCA的使用&oldid=59732