EJBCA架设自己的CA

[b]EJBCA介绍[/b]
PKI(Public Key Infrastructure ) 即"公钥基础设施"较好地解决了 Web 应用中的机密性、完 整性、真实性和抗否认性等安全问题。但在 Web 环境下,还必须证明公钥与其持有者之间 的映射关系,并认证密钥持有者的身份。数字证书很好地解决了这个问题。同样,在分布式 环境下,还应该建立起安全、有效的证书管理机制,实现证书的生成、存储、分发、吊销等 操作,从而为 Web 应用乃至网络通信提供必要的密钥和证书服务。公钥基础设施 PKI 就是 这样的一种提供安全服务的基础设施。PKI 的核心是对证书及其公/私钥对的管理。同时, PKI 也代表着一种分布式的信任模型关系,它首先要选择或定义证书格式及其操作过程,其 次需要明确证书签发机构或个人之间的信任关系。
EJBCA 就是这样一个针对 PKI 证书体系企业级的开源解决方案。它基于 J2EE 技术,提供 了一个强大的、高性能并基于组件的 CA 体系。EJBCA 兼具灵活性和平台独立性,能够独立 使用,也能和任何 J2EE 应用程序集成。

[b]软件环境[/b]
操作系统:Ubuntu 10.10
数据库:mysql 5.0
JDK:jdk 1.6_20
EJBCA:ejbca 3.9.3
ANT: ant 1.8.2
JBOSS:jboss-5.0.1.GA

[b]软件安装路径:[/b]
ejbca 及相关软件都安装在/opt/目录下。
安装软件步骤省略!!

[b]配置Jboss[/b] 这一步为可选项:
修改Jboss监听端口(默认为8080)
vim /opt/jboss-5.0.1.GA/server/default/deploy/jbossweb.sar/server.xml
<Connector port="8080" address="${jboss.bind.address}" maxThreads="250" maxHttpHeaderSize="8192" emptySessionPath="true" protocol="HTTP/1.1" enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" />
修改为:
<Connector port="8086" address="0.0.0.0" maxThreads="250" maxHttpHeaderSize="8192" emptySessionPath="true" protocol="HTTP/1.1" enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" />
修改Jboss启动参数
vim /opt/jboss-5.0.1.GA/bin/run.conf
修改如下:
JAVA_OPTS="‐Xms1024m –Xmx1024m –server –XX:MaxPermSize=512m –XX:PermSize=256m ‐XX:MaxNewSize=512m ‐Dsun.rmi.dgc.client.gcInterval=3600000 ‐Dsun.rmi.dgc.server.gcInterval=3600000"

[b]创建ejbca数据库[/b]
-> mysql -h localhost –u root –p
-> create database ejbca default character set utf8;

[b]配置环境变量(本人配置在/etc/environment )[/b]
/etc$ sudo vim environment
[table]
|ANT_HOME="/opt/apache-ant-1.8.2"|
|JBOSS_HOME="/opt/jboss-5.0.1.GA"|
|J2EE_HOME="/opt/jboss-5.0.1.GA"|
|APPSRV_HOME="/opt/jboss-5.0.1.GA"|
|EJBCA_HOME="/opt/ejbca_3_9_3"|
|PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/opt/apache-ant-1.8.2/bin:/opt/jboss-5.0.1.GA/bin:"|
[/table]

[b]EJBCA配置[/b]
1. 修改ejbca.propterties配置文件
cp /opt/ejbca_3_9_3/conf/ejbca.properties.sample /opt/ejbca_3_9_3/confejbca.properties
配置CA参数(可选: 如果这里配置了,在ejbca install的时候就不用再写,建议不要配置):
ca.name=XXX CA
ca.dn=CN=XXX CA,O=XXX,C=CN

2.修改database.properties
cp /opt/ejbca_3_9_3/conf/database.properties.sample /opt/ejbca_3_9_3/conf/database.properties
sudo vim /opt/ejbca_3_9_3/conf/database.properties
将mysql相关语句打开,如下:
database.name=mysql
datasource.mapping=mySQL
database.url=jdbc:mysql://127.0.0.1:3306/ejbca?characterEncoding=UTF‐8 database.driver=com.mysql.jdbc.Driver
database.username=root
database.password=你mysql的密码

3.修改web.properties
cp /opt/ejbca_3_9_3/conf/web.properties.sample /opt/ejbca_3_9_3/conf/web.properties
sudo vim /opt/ejbca_3_9_3/conf/web.properties
修改内容,如下:
httpserver.pubhttp=8086

4.安装ejbca(启动2个terminal(jboss,ejbca))
4.1 cd /opt/ejbca_3_9_3
//将ejbca/lib 下面以bc开头的.jar包复制到jboss/server/default/lib下
4.2 cp lib/bc*jar /opt/jboss-5.0.1.GA/server/default/lib/
4.3 ant bootstrap
4.4 /opt/jboss-5.0.1.GA/bin/run.sh
4.5 ant install 一路回车确认完成安装(根据提示输入你的CA信息),生成了 CA、Jboss 证书、浏览器证书。
4.6 杀掉 jboss Ctrl+C
4.7 ant deploy
4.8 /opt/jboss-5.0.1.GA/bin/run.sh
4.9 将生成的CA根证书导入到客户端浏览器中.证书路径:/opt/ejbca3.9.3/p12/superadmin.p12,windows中导入证书到浏览器很简单,双击superadmin.p12证书,一路下一步(第二部要输入证书密码,默认密码为:ejbca),完成!

执行上面步骤后可以查看mysql数据库,自动创建表和基础数据.

上面步骤都成功后,可以在客户端浏览器中输入:
http://你CA服务器地址:8086/ejbca
这样就可以管理你的证书了!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值