编辑“EJBCA/EJBCA的使用”

{{EJBCA top}}
[[EJBCA]]是一个全功能的[[CA系统]][[软件]]，它基于[[J2EE]]技术，并提供了一个强大的、高性能并基于组件的CA。EJBCA兼具灵活性和平台独立性，能够独立使用，也能和任何J2EE
[[应用程序]]集成。
 
==启动==
双击：ejbca/run.cmd 这是会出现一个[[Dos]]窗口来启动[[Jboss]]，同时也启动了ejbca.最后的时候会出现两个端口：8080， 8443。这时就可以了。登陆管理界面：用本机[[浏览器]]输入  
 http://sdu-hci-vr:8080/ejbca
注意：点击'''administrate'''，进入管理界面（一定要在本机，其他机器上没有superadmin的证书）

==增加一个证书用户==
*进入adminweb之后，点'''Add End Entity'''。在文本框里填上对应的用户信息，在require下面打上对号的，表示必须要填。现在有两个CA可以选择，一般用SDUCA.Token表示证书方式，User Generated表示由用户来生成密钥对；jks,p12,pem应该表示生成的证书格式。由于系统问题

*最后点击add end entity。 用户首先要下载根证书，于'''http://sdu-hci-vr:8080/ejbca/publicweb/webdist/index.html'''。点'''Fetch CA and OCSP certificate(s)'''后，下载对应的根证书。

*用户下载自己的证书有两个地方，一个是为browser下，'''http://sdu-hci-vr:8080/ejbca/publicweb/apply/index.html'''中点'''for yourbrower''',这种方式下载时，一般由CA生成密钥对，然后将私钥，证书以及根证书以pem的格式，或者以p12的格式（格式内容不清楚）来发给你。用户要输入在end entity表中填入的username 和密码来取得证书。另一个是为server的，在上述的[[网页]]中点击'''manually for server'''.这时你需要先生成证书请求，然后让[[CA]]给数字签名即可。

==证书==
证书有三部分： 管理，证书申请和发放，证书检测。 
*Basic Functions ：可以看根证书信息 
*发crl 有bug，连接不可用，但是不影响 Edit Certificate Profiles ：
#证书配置文件，先敲一个profile的名字，点add。这时会把它加上。选择它之后，点edit，即可以配置。
#改功能主要是限制证书功能，例如发安全[[Email]]，或者[[SSL]]连接。还有证书有效期。 
#Edit Publishers ：这个是配置[[LDAP]]的地方。 
#Edit Certificate Authorities ： 生成新的CA的地方,在ejbca中可以生成多个根CA。

===和lcg的对接===
首先，我们需要以下一些证书：ce的server证书，ui的server证书以及客户的证书。在实验过程中，我们都是使用manually for a server的方式来生成证书，它的特点是由用户生成密钥对，密钥由自己保留，同时自己生成证书请求，让ejbca来签发。

注意事项：生成密钥对和证书请求。（拷一些命令就行）
*生成证书密钥: 
#date > .rnd  
#openssl genrsa -rand .rnd -out user-key.pem 1024 (不带口令保护，用于[[主机]]) 
#openssl genrsa -des3 -rand .rnd -out user-key.pem 1024 (带口令保护，用于普通用户)

*生成证书请求 openssl req -new -nodes -key user-key.pem -out user-req.pem –config/usr/share/ssl/openssl.cnf

在提交证书申请之后时，我们用了如下一些选项，来把用户加到系统的[[数据库]]，但是不知道如果选项有缺漏会不会证书失效。 对于server ,CN一定要为机器名（hostname）。
 /C=CN/ST=ShanDong/L=JiNan/O=SDU/OU=HPCC/CN=ce.lcg.grid.sdu.edu.cn email=shenjb@126.com

由于ejbca的[[Web]]界面无法用大写字母，我们只好用cmd来建用户。 '''ra adduser''' 回车后，会出现提示，按此提示来输入。 

在Token里面，要选用User Generated,这表明是使用用户自己产生的密钥对来生成证书。否则，该CA会再给你生成一对密钥。 

下面是如何在客户端配置。（就是怎么样把证书和密钥放好，修改好配置文件。）
*使lcg信任该ca中心, 将ca中心的根证书保存为cacert.pem.为了使各个NODE承认该CA中心，我们必须将该CA的有关信息（三个文件,.0，.r0和.signing_policy）存放在各个NODE的/etc/grid-security/certificates/目录下面:
#获取CA的hash,记为 openssl x509 -in cacert.pem -noout –hash 将CA的证书cacert.pem改名为.0即可。 
#获取CRL,将crl文件改名为.r0即可。 
#手动创建一个.signing_policy #CA in SDU-HPCC access_id_CA X509 /CN=SDUCA/O=HPCC/C=CN pos_rights globus CA:sign cond_subjects globus "/CN=*" 
#将ce和ui的证书改名为hostcert.pem,私钥改名为hostkey.pem放到/etc/grid-security/下面

注意:证书权限为444,密钥为400.reboot! 

*将用户证书放到用户home下的.globus目录下,改名为usercert.pem,私钥为userkey.pem,注意权限,与主机证书密钥相同. 
*在ce和ui上为用户生成grid-mapfile.(见lcg文档)

==参考来源==
http://blog.csdn.net/sunrisefe/archive/2005/08/12/452648.aspx

{{EJBCA}}

[[category:EJBCA|E]]