EJBCA证书平台-管理员及用户使用指南

最新推荐文章于 2024-08-07 10:03:26 发布
最新推荐文章于 2024-08-07 10:03:26 发布
阅读量9.5k 收藏 16
点赞数 5
分类专栏: 配置管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011391839/article/details/89471514
版权

一、证书术语解释

证书机制是目前被广泛采用的一种安全机制,使用证书机制的前提是建立CA(Certification Authority --认证中心)以及配套的RA(Registration Authority --注册审批机构)系统。

CA (Certificate Authority):是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。作为电子商务交易中受信任的第三方,专门解决公钥体系中公钥的合法性问题。。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证书。(CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理)

RA (Registration Authority)数字证书注册审批机构,是数字证书认证中心的证书发放、管理的延伸。主要负责证书申请者的信息录入、审核以及证书发放等工作,同时,对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。

根证书:根证书是CA认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个CA认证中心的信任,浏览器和操作系统中会内置一些常用的CA根证书,信任这些根证书的同时,也会信任这些根证书颁发的证书.

证书类型:Token代表证书文件类型

  • User Generated代表根据用户的浏览自动生成;
  • P12 file代表PKCS12证书;
  • JKS file代表JAVA的keytools证书工具支持的证书私钥格式;
  • PEM file代表PEM安全功能使用了多种密码工具,包括非对称加密算法,对称加密算法以及报文完整性。

二、EJBCA简介

EJBCA,是一个CA(Certificate Authority)系统软件,CA是数字证书认证中心的简称,主要功能是管理数字证书,包括证书的颁发、销毁、更新等,ejbca实现了CA规范,因此可以用来管理数字证书。

EJBCA由5部分组成:认证中心、注册机构、证书库、证书申请者、证书信任方。其中,认证中心、注册机构和证书库3部分是PKI的基础部分,证书申请者和证书信任方式参加网上交易的主体。

2.1. 系统登录

 

2.2. 系统中文显示

进入系统管理员界面,分别单击左侧测System Configuration(系统配置)->My Preferences(个人选项),在右侧的管理员首选项中,设置web界面默认语言为“Chinese-中文[zh]”.

三、数字证书模板制作过程(管理员)

【注意】:

  1. 以下所有没有提过的字段,表示适用默认值。
  2. 证书的有效期是在Certificate Profiles(证书模板,证书属性)中设置的,CA中的有效期不起作用。  
  3. CA、证书模板、终端实体模板这几个都互相关联,如果是自己重新创建的需要设置好彼此的关联,否则在创建一个用户时,有时会出现需要的CA、证书模板等无法看到或者选择的问题。关联设置点如下:

  • 证书模板:在“可用的CA”字段处关联CA;

  • 终端实体模板:在 “Main certificate data”字段处关联需要的“证书模板”、“CA”等;

  • CA:不做关联;

具体操作步骤如下,首先进入EJBCA管理界面:

 

3.1. 新增CA

1)进入CA Functions(CA功能) -> Edit Certificate Authorities(编辑CA)界面,

    在Add CA 下输出需要的CA名称,然后点击创建,进入具体CA编辑页面;

 

2)CA页面信息填写如下(自己一般填写下面2项即可),然后点击创建(create):

  • 有效期 (*y *mo *d *h *m *s) or end date of the certificate:3650d (根据需求设置)
  • CA Serial Number Octet Size:16
  • 审批设置(Approval Settings):不选择   (注意不要选择,否则后续后续证书审核)

其他信息使用默认值即可。

 

3.2. 新增证书模板(证书属性)

1)进入CA Functions(CA功能) -> Edit Certificate Profiles(编辑证书模板)界面,

   在编辑证书模板页面,填写一个证书模板的名称如图,点击添加;

 

2)点击该证书模板后的编辑按钮,进入编辑页面,选择需要设置的字段属性值,(自己设置的如下):

  • 类型:如果Available CAs选择的是子CA ,那么这里必须选择Sub CA,否则在证书导入到IE里面会有问题:如证书路径等问题。
  • 有效期 or end date of the certificate  :10y
  • 密钥用途:根据需要选择秘钥用途
  • 密钥用途扩展:根据需要选择 扩展密钥用法
  • 可用的CA:在Certificate Profiles新增的CA和根CA都在这里

最后点击保存即可。

3.3. 新增用户注册模板(即终端实体模板)

      默认有一个EMPTY模板,包含所有的字段,如果自己的需求是特定的几个字段值,可以自己进行模板设置。具体过程如下:

1)进入RA功能(RA Functions)->编辑终端实体模板(Edit End Entity Profiles)页面,在“添加模板”下输入模板名称,点击添加

2)添加后在“当前中终端实体模板中”选中该模板,然后点击“编辑终端实体模板”

3)根据需要配置该终端实体模板

  • 主题(DN)字段中,通过添加按钮,可以根据需求增加如下属性,并且根据需求设置(必需的、可修改的):

CN, 通用名;

OU, 组织部门;

O, 组织;

EMail, DN中的email地址

  • 默认证书模板:可以根据需求选择自己新增的证书模板
  • 可用的证书模板:根据需要选择
  • 默认CA:可以根据需求选择自己新增的CA
  • 可用的CA:根据需要选择
  • 默认Token:根据需要选择
  • 可用的Tokens:根据需要选择

四、数字证书的申请、下载及应用(个人)

4.1.1 用户注册申请(即添加终端实体)

1)在RA功能(RA Functions )->添加终端实体(Add End Entity)中增加一个RxCA的普通用户ceshiyonghu002;

  • 终端实体模板:可以选择上面创建的Rxuser
  • 用户名:根据需要设置
  • Password:根据需要设置(我们自己设置为11111111)
  • 主题(DN)字段:根据需要填写
  • Main certificate data:

证书模板:可以选择自己设置的模板

CA:选择需要的CA,如RxCA;

Token:

p12 File用于存放个人证书/私钥,包含保护密码,存储方式为2进制形式

PEM File用于存放个人证书,不包含私钥,存放方式是ascii形式

JKS File如果要用于Web Service及Java程序,选用此选项

以上字段确定后点击添加按钮,即可。

4.2 .查看证书信息

 

4.3. 下载证书

 

只有终端实体装填为“新增”的才可以下载证书,如果该证书被下载过,可以去编辑该终端实体的状态,修改为新增状态,也可以重新下载该证书。

[注意]:一般使用firefox或者IE浏览器下载(不要使用chrome或者迅雷进行下载)

以下为firefox浏览器为示例:

4.4.安装并查看证书

使用firefox浏览器下载证书会直接安装该证书,如果要查看该证书,按照如下操作;

firefox浏览器,设置->选项->隐私与安全->查看证书

4.5. 导出数字证书

选择需要导出的证书,点击备份

五、导入下载的证书到证书库(使用IE浏览器示例)

把所生成的证书发送给用户,用户将证书导入浏览器后既可以使用。

1)打开IE浏览器-》设置-》选项-》内容-》证书

2)点击证书,选择导入:

3)点击下一步,选择要导入的证书

4)点击下一步,输入证书密码

5)选择证书存储类型,一般默认即可

6)点击下一步,然后点击完成,显示导入成功。点击确定后即可看到导入的证书

 

六、其他场景(管理员)

6.1. 吊销证书

如果管理员发现用户的证书被人盗用了,可以吊销该证书。

在EJBCA管理员界面中,打开“RA功能”->“列出/编辑终端实体”。在“查询终端实体”中使用状态选择“所有”,点击右边的查询按钮查看所有用户的信息;

勾选需要吊销的用户,点击表格下方的“撤销所选”按钮,吊销用户。

6.2. 更新证书

 

用户上次申请的证书到期了,要更换新的证书。

在EJBCA管理员界面中,打开“RA功能”->“列出/编辑终端实体”。在“查询终端实体”中“使用用户名查找终端实体输入已经过期的用户,点击查询。

点击需要更新证书用户的最右列中的“编辑”按钮,设置状态为“新增”,然后点击保存。输入新密码,其他项保持不变,点击页面最下方的保存按钮保存设置。即可产生一个证书,证书截止时间根据证书模板中的有效期设置有关。

 

6.3. 根证书

EJBCA作为一个CA,有它自己的根证书。

在EJBCA用户界面,打开“Retrieve-》Fetch CA Certificates”菜单,可以下载不同格式的根证书。

 

6.4 申请Tomcat服务器证书

以上方式可以管理普通用的浏览器证书,格式为P12,tomcat服务器用的证书格式为jks,如何申请呢?

1)在用户注册(添加终端实体)时候,证书模板选择“SERVER”,CA选择“dev”(自己根据需求设置的服务器CA),token选择JKS文件,其他项值不变

2)下载证书的时候,在EJBCA用户界面打开“Enroll->Create Keystore”,输入用户名和密码进入如下页面

 

    按照如下设置后,点击Enroll按钮下载证书。

下载结果:

 

七、EJBCA平台搭建(容器方式)

具体配置信息如下:

 

紫漪
关注
专栏目录
开源ejbca 8.0 版本
07-14
ejbca-ce-EJBCA_8_0_20230531
推荐使用:EJBCA PKI —— 高级证书颁发机构的开源解决方案
gitblog_00037的博客
05-23 397
推荐使用:EJBCA PKI —— 高级证书颁发机构的开源解决方案 ejbca-ceEJBCA® – Open-source public key infrastructure (PKI) and certificate authority (CA) software. 项目地址:https://gitcode.com/gh_mirrors/ej/ejbca-ce 项目介绍 EJBCA是一个久经...
EJBCA 开源证书颁发机构(CA)软件教程
gitblog_00234的博客
08-07 806
EJBCA 开源证书颁发机构(CA)软件教程 ejbca-ceEJBCA® – Open-source public key infrastructure (PKI) and certificate authority (CA) software. 项目地址:https://gitcode.com/gh_mirrors/ej/ejbca-ce 1. 项目介绍 EJBCA 是一个开源的公共密钥基础...
EJBCA搭建
CHN_Zgq's Blog
04-11 2194
本次EJBCA搭建使用操作系统为centos 7,shell用户为root
EJBCA使用之注册用户及创建证书
xanxus46的专栏
06-15 6188
研究ejbca源码快一个月了,从openipmp中的老版ejbca到最新的4.0.15,感觉看别人代码实在太痛苦了,而且之前自己对ejb并不是很熟悉,还必须自己重新学了一点基本的ejb知识。 我最开始是研究openipmp的,里面自带就有ejbca的jar包,所以一开始我看openipmp怎么调用ejbca就行,但是由于openipmp实在太老了,它使用的ejbca是遵守ejb2.1标准的,调用
开源界的一颗璀璨明珠 —— 探索EJBCA社区版的无限魅力
最新发布
gitblog_00361的博客
08-07 948
开源界的一颗璀璨明珠 —— 探索EJBCA社区版的无限魅力 ejbca-ceEJBCA® – Open-source public key infrastructure (PKI) and certificate authority (CA) software. 项目地址:https://gitcode.com/gh_mirrors/ej/ejbca-ce 在数字时代的大潮中,公共密钥基础设施(...
EJBCA 管理员使用指南
11-02
基于EJBCA 搭建自己的CA 认证中心之 EJBCA 管理员使用指南
EJBCA 管理员使用手册(记录制证步骤)
pirate
07-18 1005
EJBCA 管理员使用手册 本文只是本人使用ejbca架设CA的过程,其中包括了建子CA,建证书属性模板等。 架设EJBCA中间碰到了很多问题,不过还是都基本解决了! :D 基本上满足制作证书的要求。 参考文章:http://www.zzbaike.com/wiki/EJBCA/%E7%AE%A1%E7%90%86%E5%91...
EJBCA操作说明(一)ejbca web界面操作
mengo的博客
10-07 1165
java代码操作ejbca链接 1、EJBCA介绍 EJBCA是一个全功能的CA系统软件,它基于J2EE技术,并提供了一个强大的、高性能、可升级并基于组件的CAEJBCA兼具灵活性和平台独立性,能够独立使用,也能和任何J2EE应用程序集成。 当前共有两个版本: 企业版:EJBCA Enterprise 6.13.0 开源版:EJBCA Community 6.10.1.2 企业...
EJBCA的使用
08-12 3737
六 使用ejbca,由于缺乏对功能的说明,我们只能摸索。1启动:双击:d:/panguodong/Downloads/ejbca_3_0/ejbca/run.cmd 这是会出现一个Dos窗口来启动Jboss,同时也启动了ejbca.最后的时候会出现两个端口:8080, 8443。这时就可以了。登陆管理界面:用本机浏览器敲http://sdu-hci-vr:8080/ejbca/ 点击adminis
EJBCA操作说明(二)java操作
mengo的博客
10-07 1136
ejbca web界面操作 代码下载地址 初始化获得EJBCA实例 /** * 初始化EjbcaWS,获得EJBCA服务端Webservice实例 * @return */ public static EjbcaWS init() { EjbcaWS ejbcaWS = null; CryptoProviderTools.installBCProvider()...
EJBCA操作文档.docx
10-08
EJBCA操作文档:内容包括EJBCAweb操作介绍和EJBCA java api调用 对应博客(https://blog.csdn.net/mengo1234/article/details/102311585)
证书管理系统证书制作、管理等
12-01
证书管理系统,证书制作、删除、管理等,比较实用
电子证书管理系统-在线颁发管理打印证书
11-15
龙威电子证书系统是目前最强大、最稳定的在线电子化证书解决方案,传统的线下制作发证书模式,数据录入、排版、印制、核对、颁发、统计是一项极为繁重的任务,当证书数据量大的情况下,在人力、物力和管理效率上都难以得到保证 , 龙威电子证书系统,可实现数据批量导入管理,可视化在线证书模板设计,在线批量颁发,批量生成证书图片,批量导出证书数据,批量下载证书图片, 证书数据统计, 用户即可随时随地在线查询或打印证书, 我们致力于提升单位工作效率,同时减轻证书管理者的工作负担,实现证书颂发无纸化。
EJBCA创建证书图解
03-24
NULL 博文链接:https://pirateyk.iteye.com/blog/1119026
ejbca.rar_CA_EJBCA_ca java_ejbca制_rsa ca
09-14
4. 文档:可能包含详细的用户指南、开发者文档和API参考,帮助用户理解和操作EJBCA系统。 部署和使用EJBCA需要对Java EE、PKI、RSA加密和数字签名有深入的理解。管理员需要配置CA策略,如证书生命周期、吊销列表...
EJBCA的安装指南
09-04 2347
EJBCA的安装指南   EJBCA是一个开源的、功能强大的CA系统,使用EJBCA搭建CA可以达到事半功倍的效果。但是由于EJBCA代码很复杂,独立完成会比较困难,本人也是自己从头尝试做了一遍,虽然也有不少准备,仍然遇到不少问题。本教程的目的是希望可以帮助到你独立完成EJBCA的安装部署。 总的来说,CA系统安装分为以下几步: 第一步:环境准备:包括编译环境和运行环境。 第二步:EJB
ejbca的安装(ejbca_3_5_4 + jboss-4.2.2.GA)
12-02
通过EJBCA的“EJBCA总结”文档,你可能能找到更详细的安装和使用指南,包括遇到问题时的解决方案和最佳实践。这份文档可能会涵盖EJBCA的高级功能,如OCSP(Online Certificate Status Protocol)服务、CRL...
EJBCA快速安装指南
mengo的博客
09-24 1272
安装依赖项 红色的帽子: sudo yum install tar unzip java-1.8.0-openjdk-devel ant psmisc mariadb bc patch 下载EJBCA并解压缩ejbca安装目录中的ZIP存档 $ unzip ejbca_ce_6_10_1_2.zip $ cd $ ls ejbca_ce_6_10_1_2 安装MariaDB数据库并为EJBCA创建数据库 $ sudo mysql -u root -p ...
ejbca搭建ocsp
07-08
要搭建 EJBCA 的 OCSP 服务,您可以按照以下步骤进行操作: 1. 安装 EJBCA:首先,您需要安装和配置 EJBCA。您可以从 EJBCA 官方网站(https://www.ejbca.org/)下载最新版本的 EJBCA,并按照官方文档中的说明进行安装和配置。 2. 配置证书颁发机构(CA):在 EJBCA 中,您需要创建一个证书颁发机构(CA)的配置。在 EJBCA 管理界面中,导航到 "CA Functions" > "Add CA",并按照提示填写相关信息。 3. 生成证书:在 EJBCA 中,您可以生成证书并将其发布给相应的实体。导航到 "RA Functions" > "Enroll End Entity",并填写相关信息以生成证书。 4. 配置 OCSP 服务:在 EJBCA 管理界面中,导航到 "System Configuration" > "Services",启用 OCSP 服务,并配置相关参数,如 OCSP 端口号、签名密钥等。 5. 启动 OCSP 服务:在 EJBCA 管理界面中,导航到 "System Configuration" > "Services",点击 "Start" 按钮启动 OCSP 服务。 6. 测试 OCSP 服务:使用任意的 OCSP 客户端工具,向已搭建的 EJBCA OCSP 服务发送请求,以验证证书的状态。您可以使用 OpenSSL 的 ocsp 命令或其他工具来测试。 请注意,以上步骤仅为搭建 EJBCA OCSP 服务的基本指导,实际操作可能因您的需求和环境而有所不同。建议您参考 EJBCA 官方文档和指南,以获取更详细和准确的操作说明。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值