EJBCA的使用

最新推荐文章于 2024-09-17 14:27:13 发布

sunrisefe

最新推荐文章于 2024-09-17 14:27:13 发布

阅读量3.7k

点赞数

文章标签： server email browser jboss ui basic

本文链接：https://blog.csdn.net/sunrisefe/article/details/452648

版权

六使用ejbca,由于缺乏对功能的说明，我们只能摸索。

1启动：双击：d:/panguodong/Downloads/ejbca_3_0/ejbca/run.cmd 这是会出现一个Dos窗口来启动Jboss，同时也启动了ejbca.最后的时候会出现两个端口：8080， 8443。这时就可以了。登陆管理界面：用本机浏览器敲http://sdu-hci-vr:8080/ejbca/ 点击administrate，进入管理界面（一定要在本机，其他机器上没有superadmin的证书）
2 增加一个证书用户：进入adminweb之后，点Add End Entity。在文本框里填上对应的用户信息，在require下面打上对号的，表示必须要填。现在有两个CA可以

选择，一般用SDUCA.Token表示证书方式，User Generated表示由用户来生成密钥对；jks,p12,pem应该表示生成的证书格式吧。由于系统问题

，只能用小写字母。最后点击add end entity。用户首先要下载根证书，于http://sdu-hci-vr:8080/ejbca/publicweb/webdist/index.html。点Fetch CA and OCSP certificate(s)后，

下载对应的根证书。OCSP没有用过。用户下载自己的证书有两个地方，一个是为browser下，http://sdu-hci-vr:8080/ejbca/publicweb/apply/index.html中点for your

brower,这种方式下载时，一般由CA生成密钥对，然后将私钥，证书以及根证书以pem的格式，或者以p12的格式（格式内容不清楚）来发给你。用户要输入在end entity表中填入的username 和密码来取得证书。另一个是为server的，在上述的网页中点击 manually for server.这时你

需要先生成证书请求，然后让CA给数字签名即可。

3 有三部分：管理，证书申请和发放，证书检测。 Basic Functions ：1可以看根证书信息 2 发crl 有bug，连接不可用，但是不影响 Edit Certificate Profiles ：1 证书配置文件，先敲一个profile的名字，点add。这时会把它加上。选择它之后，点edit，即可以配置。改

功能没有尝试过。估计主要是限制证书功能，例如发安全email,or ssl连接。还有证书有效期。 Edit Publishers ：这个是配置ldap的地方。 Edit Certificate Authorities ：生成新的CA的地方。在ejbca中可以生成多个根CA。

第二部分：和lcg的对接首先，我们需要以下一些证书：ce的server证书，ui的server证书以及客户的证书。在实验过程中，我们都是使用manually for a server的方式来生成证书，它的特点是由用户生成密钥对

，密钥由自己保留，同时自己生成证书请求，让ejbca来签发。注意事项： 1 生成密钥对和证书请求。（拷一些命令就行）生成证书密钥 1) date > .rnd 2) openssl genrsa -rand .rnd -out user-key.pem 1024 (不带口令保护，用于主机) 3) openssl genrsa -des3 -rand .rnd -out user-key.pem 1024 (带口令保护，用于普通用户)

生成证书请求 openssl req -new -nodes -key user-key.pem -out user-req.pem –config

/usr/share/ssl/openssl.cnf

在提交证书申请之后时，我们用了如下一些选项，来把用户加到系统的数据库，但是不知道如果选项有

缺漏会不会证书失效。对于server ,CN一定要为机器名（hostname）。 /C=CN/ST=ShanDong/L=JiNan/O=SDU/OU=HPCC/CN=ce.lcg.grid.sdu.edu.cn email=shenjb@126.com 由于ejbca的web界面无法用大写字母，我们只好用cmd来建用户。 ra adduser 回车后，会出现提示，按此提示来输入。 3 在Token里面，要选用User Generated,这表明是使用用户自己产生的密钥对来生成证书。否则，该CA 会再给你生成一对密钥，这时你就惨了。 4 下面是如何在客户端配置。（就是怎么样把证书和密钥放好，修改好配置文件。）

(1)使lcg信任该ca中心, 将ca中心的根证书保存为cacert.pem.为了使各个NODE承认该CA中心，我们必

须将该CA的有关信息（三个文件, .0， .r0和 .signing_policy）存放在各个

NODE的/etc/grid-security/certificates/目录下面。 1，获取CA的hash,记为 openssl x509 -in cacert.pem -noout –hash 将CA的证书cacert.pem改名为 .0即可。 2，获取CRL

将crl文件改名为 .r0即可。 3，手动创建一个 .signing_policy #CA in SDU-HPCC access_id_CA X509 /CN=SDUCA/O=HPCC/C=CN pos_rights globus CA:sign cond_subjects globus "/CN=*" (2)将ce和ui的证书改名为hostcert.pem,私钥改名为hostkey.pem放到/etc/grid-security/下面,注意

证书权限为444,密钥为400.reboot! (3)将用户证书放到用户home下的.globus目录下,改名为usercert.pem,私钥为userkey.pem,注意权限,

与主机证书密钥相同. (4)在ce和ui上为用户生成grid-mapfile.(见lcg文档)

存在的问题（很多，不要头大） 1 为什么用browse界面生成的证书不行？ 2 dn少一些项行不行? 我把 L C ST去了都可以。 3 server的CN必须为机器名吗？(对于lcg，好象不必是hostname。） 4 用户的CN是不是任意的？（用户cn和用户名无关） 5 browse方式生成的pem由private key,cert ,CA cert 组成，我们能不能拷出来用呢？？？（现在似乎

不行，有待研究） 6 crl能不能用？crl能不能自动生成？怎么生成啊？可以了。都可以了。