出家如初,成佛有余

基于EJBCA搭建自己的CA认证中心之EJBCA管理员使用指南

Posted in Uncategorized by chuanliang on 2010/01/15

1. 概述

pki,ejbca,数字证书,CA,RA,安全,开源,rsa

Yeeach证书体系

Yeeach 证书体系分为3级:

第一级:用于证书授权(Certificate Authority)

Yeeach Root CA,Yeeach证书体系的根证书。

第二级:用于证书发放审核

Yeeach Consumer CA,实际上就是用于签发Yeeach普通用户证书的RA

Yeeach Merchant CA,实际上就是用于签发Yeeach商户证书的RA

第三级:普通用户或商户的个人证书

2. EJBCA管理员使用指南

1)、在客户端浏览器导入superadmin.p12证书

superadmin.p12可以从ejbca_3_9_3/p12获得。

2)、访问https://ca.yeeach.com:8443/ejbca/adminweb/index.jsp

3)、增加RAYeeach Merchant CAYeeach Consumer CA

增加Yeeach Consumer CA:CA Functions->Edit Certificate Authorities->Create

增加Yeeach Merchant CA:CA Functions->Edit Certificate Authorities->Create

下面以增加Yeeach Consumer CA为例子,说明一下增加过程。

pki,ejbca,数字证书,CA,RA,安全,开源,rsa

pki,ejbca,数字证书,CA,RA,安全,开源,rsa

其中:

RSA key size:2048

Subject DN:CN=Yeeach Consumer Ca,O=Yeeach,C=CN

Signed By:Yeeach Root CA

Validity (*y *mo *d) or end date of the certificate:3650d

Use PrintableString encoding in DN:选中

Approval Settings:不选择(选中所有的需要通过审批过程,增加End Entity 时候提示Request has been sent for approval)

对于增加Yeeach Merchant CA的过程类似。

3)、增加End Entity Profile

RA Functions ->Edit End Entity Profiles增加End Entity Profile

pki,ejbca,数字证书,CA,RA,安全,开源,rsa

然后选中在“Current End Entity Profiles”选中“Yeeach Consumer End Entity Profile”,点击“Edit End Entity Profile”

在Subject DN Fields,通过Add按钮,增加如下属性,且都为(Required 、Modifiable):

CN, Common name

UID, Unique Identifier

O, Organization

Default CA:Yeeach Consumer CA

Available CAs:Yeeach Consumer CA

Default Token:P12

Available Tokens:P12

Approval Settings:不选择(选中所有的需要通过审批过程,增加End Entity 时候提示Request has been sent for approval)

pki,ejbca,数字证书,CA,RA,安全,开源,rsa

4)、增加一个Yeeach Consumer CA的普通用户liangchuan

RA Functions ->Add End Entity增加一个Yeeach Consumer CA的普通用户liangchuan

End Entity Profile选中刚才新增的“Yeeach Consumer End Entity Profile”

Token:

p12 File用于存放个人证书/私钥,包含保护密码,存储方式为2进制形式

PEM File用于存放个人证书,不包含私钥,存放方式是ascii形式

JKS File如果要用于Web Service及Java程序,选用此选项

pki,ejbca,数字证书,CA,RA,安全,开源,rsa

4)、增加一个Yeeach Consumer CARA)的管理员ra1并授予管理员权限

Superadmin增加Yeeach Consumer CARA)的管理员ra1并授予管理员权限后,ra1就可以作为RA的管理员,对所属RA的用户证书注册等操作进行操作。

RA Functions ->Add End Entity增加一个Yeeach Consumer CA的管理员ra1

System Functions-> Edit Administrator Privileges-> Add->增加“Yeeach Consumer CA Administrator Group”

pki,ejbca,数字证书,CA,RA,安全,开源,rsa

点击Yeeach Consumer CA Administrator Group中的Administrator,进入“Administrators in group Yeeach Consumer CA Administrator Group”,按照下图增加RA管理员ra1

pki,ejbca,数字证书,CA,RA,安全,开源,rsa

点击Edit Access Rules,进入“Access Rules for group Yeeach Consumer CA Administrator Group”,授予RA Administrators的角色权限。

pki,ejbca,数字证书,CA,RA,安全,开源,rsa

3. 下载客户端证书

1)、访问https://ca.yeeach.com:8443/ejbca/index.jsp

2)、点击Create Keystore,以从管理后台新增的用户的用户名及密码登录

Key length:2048 bits

Certificate profile:ENDUSER

pki,ejbca,数字证书,CA,RA,安全,开源,rsa

备注:

EJBCA缺省情况下只允许从Public前台下载一次用户证书,下载后,用户证书的状态从“New”变为“Generated”,可以在管理后台按照如下步骤修改用户状态:

1、 https://ca.yeeach.com:8443/ejbca/adminweb/index.jsp

2、RA Functions->Search/Edit End Entities->Or with status 选择All,点击search->Edit_End_Entity->在查询结果对应用户的记录,点击Edit_End_Entity ->在Edit End Entity页面

pki,ejbca,数字证书,CA,RA,安全,开源,rsa

输入Password及Confirum Password,将用户状态从“Generated”修改为“New

pki,ejbca,数字证书,CA,RA,安全,开源,rsa

把所生成的证书发送给用户,用户将证书导入浏览器后既可以使用。

 

现在pdf版本:基于EJBCA搭建自己的CA认证中心之EJBCA管理员使用指南.pdf

 

Technorati 标签: ,,,,,,,

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s

%d 博主赞过: