EJBCA证书平台-管理员及用户使用指南
一、证书术语解释证书机制是目前被广泛采用的一种安全机制,使用证书机制的前提是建立CA(Certification Authority --认证中心)以及配套的RA(Registration Authority --注册审批机构)系统。CA (Certificate Authority):是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。作为电子商务交易中受信任的第三方,专门解决...
一、证书术语解释
证书机制是目前被广泛采用的一种安全机制,使用证书机制的前提是建立CA(Certification Authority --认证中心)以及配套的RA(Registration Authority --注册审批机构)系统。
CA (Certificate Authority):是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。作为电子商务交易中受信任的第三方,专门解决公钥体系中公钥的合法性问题。。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证书。(CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理)
RA (Registration Authority):数字证书注册审批机构,是数字证书认证中心的证书发放、管理的延伸。主要负责证书申请者的信息录入、审核以及证书发放等工作,同时,对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。
根证书:根证书是CA认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个CA认证中心的信任,浏览器和操作系统中会内置一些常用的CA根证书,信任这些根证书的同时,也会信任这些根证书颁发的证书.
证书类型:Token代表证书文件类型
- User Generated代表根据用户的浏览自动生成;
- P12 file代表PKCS12证书;
- JKS file代表JAVA的keytools证书工具支持的证书私钥格式;
- PEM file代表PEM安全功能使用了多种密码工具,包括非对称加密算法,对称加密算法以及报文完整性。
二、EJBCA简介
EJBCA,是一个CA(Certificate Authority)系统软件,CA是数字证书认证中心的简称,主要功能是管理数字证书,包括证书的颁发、销毁、更新等,ejbca实现了CA规范,因此可以用来管理数字证书。
EJBCA由5部分组成:认证中心、注册机构、证书库、证书申请者、证书信任方。其中,认证中心、注册机构和证书库3部分是PKI的基础部分,证书申请者和证书信任方式参加网上交易的主体。
2.1. 系统登录
- 登录地址:https://ip/ejbca/
- 管理员界面地址:https://ip/ejbca/adminweb/
- 用户地址(证书下载地址):https://172.16.1.162/ejbca/enrol/browser.jsp
2.2. 系统中文显示
进入系统管理员界面,分别单击左侧测System Configuration(系统配置)->My Preferences(个人选项),在右侧的管理员首选项中,设置web界面默认语言为“Chinese-中文[zh]”.
三、数字证书模板制作过程(管理员)
【注意】:
- 以下所有没有提过的字段,表示适用默认值。
- 证书的有效期是在Certificate Profiles(证书模板,证书属性)中设置的,CA中的有效期不起作用。
- CA、证书模板、终端实体模板这几个都互相关联,如果是自己重新创建的需要设置好彼此的关联,否则在创建一个用户时,有时会出现需要的CA、证书模板等无法看到或者选择的问题。关联设置点如下:
-
证书模板:在“可用的CA”字段处关联CA;
-
终端实体模板:在 “Main certificate data”字段处关联需要的“证书模板”、“CA”等;
-
CA:不做关联;
具体操作步骤如下,首先进入EJBCA管理界面:
3.1. 新增CA
1)进入CA Functions(CA功能) -> Edit Certificate Authorities(编辑CA)界面,
在Add CA 下输出需要的CA名称,然后点击创建,进入具体CA编辑页面;
2)CA页面信息填写如下(自己一般填写下面2项即可),然后点击创建(create):
- 有效期 (*y *mo *d *h *m *s) or end date of the certificate:3650d (根据需求设置)
- CA Serial Number Octet Size:16
- 审批设置(Approval Settings):不选择 (注意不要选择,否则后续后续证书审核)
其他信息使用默认值即可。
3.2. 新增证书模板(证书属性)
1)进入CA Functions(CA功能) -> Edit Certificate Profiles(编辑证书模板)界面,
在编辑证书模板页面,填写一个证书模板的名称如图,点击添加;
2)点击该证书模板后的编辑按钮,进入编辑页面,选择需要设置的字段属性值,(自己设置的如下):
- 类型:如果Available CAs选择的是子CA ,那么这里必须选择Sub CA,否则在证书导入到IE里面会有问题:如证书路径等问题。
- 有效期 or end date of the certificate :10y
- 密钥用途:根据需要选择秘钥用途
- 密钥用途扩展:根据需要选择 扩展密钥用法
- 可用的CA:在Certificate Profiles新增的CA和根CA都在这里
最后点击保存即可。
3.3. 新增用户注册模板(即终端实体模板)
默认有一个EMPTY模板,包含所有的字段,如果自己的需求是特定的几个字段值,可以自己进行模板设置。具体过程如下:
1)进入RA功能(RA Functions)->编辑终端实体模板(Edit End Entity Profiles)页面,在“添加模板”下输入模板名称,点击添加
2)添加后在“当前中终端实体模板中”选中该模板,然后点击“编辑终端实体模板”
3)根据需要配置该终端实体模板
- 在主题(DN)字段中,通过添加按钮,可以根据需求增加如下属性,并且根据需求设置(必需的、可修改的):
CN, 通用名;
OU, 组织部门;
O, 组织;
EMail, DN中的email地址
- 默认证书模板:可以根据需求选择自己新增的证书模板
- 可用的证书模板:根据需要选择
- 默认CA:可以根据需求选择自己新增的CA
- 可用的CA:根据需要选择
- 默认Token:根据需要选择
- 可用的Tokens:根据需要选择
四、数字证书的申请、下载及应用(个人)
4.1.1 用户注册申请(即添加终端实体)
1)在RA功能(RA Functions )->添加终端实体(Add End Entity)中增加一个RxCA的普通用户ceshiyonghu002;
- 终端实体模板:可以选择上面创建的Rxuser
- 用户名:根据需要设置
- Password:根据需要设置(我们自己设置为11111111)
- 主题(DN)字段:根据需要填写
- Main certificate data:
证书模板:可以选择自己设置的模板
CA:选择需要的CA,如RxCA;
Token:
p12 File用于存放个人证书/私钥,包含保护密码,存储方式为2进制形式
PEM File用于存放个人证书,不包含私钥,存放方式是ascii形式
JKS File如果要用于Web Service及Java程序,选用此选项
以上字段确定后点击添加按钮,即可。
4.2 .查看证书信息
4.3. 下载证书
只有终端实体装填为“新增”的才可以下载证书,如果该证书被下载过,可以去编辑该终端实体的状态,修改为新增状态,也可以重新下载该证书。
[注意]:一般使用firefox或者IE浏览器下载(不要使用chrome或者迅雷进行下载)
以下为firefox浏览器为示例:
4.4.安装并查看证书
使用firefox浏览器下载证书会直接安装该证书,如果要查看该证书,按照如下操作;
firefox浏览器,设置->选项->隐私与安全->查看证书
4.5. 导出数字证书
选择需要导出的证书,点击备份
五、导入下载的证书到证书库(使用IE浏览器示例)
把所生成的证书发送给用户,用户将证书导入浏览器后既可以使用。
1)打开IE浏览器-》设置-》选项-》内容-》证书
2)点击证书,选择导入:
3)点击下一步,选择要导入的证书
4)点击下一步,输入证书密码
5)选择证书存储类型,一般默认即可
6)点击下一步,然后点击完成,显示导入成功。点击确定后即可看到导入的证书
六、其他场景(管理员)
6.1. 吊销证书
如果管理员发现用户的证书被人盗用了,可以吊销该证书。
在EJBCA管理员界面中,打开“RA功能”->“列出/编辑终端实体”。在“查询终端实体”中使用状态选择“所有”,点击右边的查询按钮查看所有用户的信息;
勾选需要吊销的用户,点击表格下方的“撤销所选”按钮,吊销用户。
6.2. 更新证书
用户上次申请的证书到期了,要更换新的证书。
在EJBCA管理员界面中,打开“RA功能”->“列出/编辑终端实体”。在“查询终端实体”中“使用用户名查找终端实体”输入已经过期的用户,点击查询。
点击需要更新证书用户的最右列中的“编辑”按钮,设置状态为“新增”,然后点击保存。输入新密码,其他项保持不变,点击页面最下方的保存按钮保存设置。即可产生一个证书,证书截止时间根据证书模板中的有效期设置有关。
6.3. 根证书
EJBCA作为一个CA,有它自己的根证书。
在EJBCA用户界面,打开“Retrieve-》Fetch CA Certificates”菜单,可以下载不同格式的根证书。
6.4 申请Tomcat服务器证书
以上方式可以管理普通用的浏览器证书,格式为P12,tomcat服务器用的证书格式为jks,如何申请呢?
1)在用户注册(添加终端实体)时候,证书模板选择“SERVER”,CA选择“dev”(自己根据需求设置的服务器CA),token选择JKS文件,其他项值不变
2)下载证书的时候,在EJBCA用户界面打开“Enroll->Create Keystore”,输入用户名和密码进入如下页面
按照如下设置后,点击Enroll按钮下载证书。
下载结果:
七、EJBCA平台搭建(容器方式)
具体配置信息如下:
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
所有评论(0)