编辑“EJBCA/EJBCA的使用”（章节）

==证书==
证书有三部分： 管理，证书申请和发放，证书检测。 
*Basic Functions ：可以看根证书信息 
*发crl 有bug，连接不可用，但是不影响 Edit Certificate Profiles ：
#证书配置文件，先敲一个profile的名字，点add。这时会把它加上。选择它之后，点edit，即可以配置。
#改功能主要是限制证书功能，例如发安全[[Email]]，或者[[SSL]]连接。还有证书有效期。 
#Edit Publishers ：这个是配置[[LDAP]]的地方。 
#Edit Certificate Authorities ： 生成新的CA的地方,在ejbca中可以生成多个根CA。

===和lcg的对接===
首先，我们需要以下一些证书：ce的server证书，ui的server证书以及客户的证书。在实验过程中，我们都是使用manually for a server的方式来生成证书，它的特点是由用户生成密钥对，密钥由自己保留，同时自己生成证书请求，让ejbca来签发。

注意事项：生成密钥对和证书请求。（拷一些命令就行）
*生成证书密钥: 
#date > .rnd  
#openssl genrsa -rand .rnd -out user-key.pem 1024 (不带口令保护，用于[[主机]]) 
#openssl genrsa -des3 -rand .rnd -out user-key.pem 1024 (带口令保护，用于普通用户)

*生成证书请求 openssl req -new -nodes -key user-key.pem -out user-req.pem –config/usr/share/ssl/openssl.cnf

在提交证书申请之后时，我们用了如下一些选项，来把用户加到系统的[[数据库]]，但是不知道如果选项有缺漏会不会证书失效。 对于server ,CN一定要为机器名（hostname）。
 /C=CN/ST=ShanDong/L=JiNan/O=SDU/OU=HPCC/CN=ce.lcg.grid.sdu.edu.cn email=shenjb@126.com

由于ejbca的[[Web]]界面无法用大写字母，我们只好用cmd来建用户。 '''ra adduser''' 回车后，会出现提示，按此提示来输入。 

在Token里面，要选用User Generated,这表明是使用用户自己产生的密钥对来生成证书。否则，该CA会再给你生成一对密钥。 

下面是如何在客户端配置。（就是怎么样把证书和密钥放好，修改好配置文件。）
*使lcg信任该ca中心, 将ca中心的根证书保存为cacert.pem.为了使各个NODE承认该CA中心，我们必须将该CA的有关信息（三个文件,.0，.r0和.signing_policy）存放在各个NODE的/etc/grid-security/certificates/目录下面:
#获取CA的hash,记为 openssl x509 -in cacert.pem -noout –hash 将CA的证书cacert.pem改名为.0即可。 
#获取CRL,将crl文件改名为.r0即可。 
#手动创建一个.signing_policy #CA in SDU-HPCC access_id_CA X509 /CN=SDUCA/O=HPCC/C=CN pos_rights globus CA:sign cond_subjects globus "/CN=*" 
#将ce和ui的证书改名为hostcert.pem,私钥改名为hostkey.pem放到/etc/grid-security/下面

注意:证书权限为444,密钥为400.reboot! 

*将用户证书放到用户home下的.globus目录下,改名为usercert.pem,私钥为userkey.pem,注意权限,与主机证书密钥相同. 
*在ce和ui上为用户生成grid-mapfile.(见lcg文档)
说明	输入内容	输出结果
斜体	''斜体文字''	斜体文字
粗体	'''粗体文字'''	粗体文字
粗斜体	'''''粗斜体文字'''''	*粗斜体文字*