久久精品水蜜桃av综合天堂,久久精品丝袜高跟鞋,精品国产肉丝袜久久,国产一区二区三区色噜噜,黑人video粗暴亚裔

EJBCA/使用EJBCA證書服務(wù)的工作整理

來自站長(zhǎng)百科
跳轉(zhuǎn)至: 導(dǎo)航、? 搜索

EJBCA | EJBCA安裝 | EJBCA使用

EJBCA是一個(gè)全功能的CA系統(tǒng)軟件,它基于J2EE技術(shù),并提供了一個(gè)強(qiáng)大的、高性能并基于組件的CA。EJBCA兼具靈活性和平臺(tái)獨(dú)立性,能夠獨(dú)立使用,也能和任何J2EE 應(yīng)用程序集成。

EJBCA+JBOSS安裝部署[ ]

版本:Jboss-4.0.4.GA+EJBCA_3_4_2

EJBCA從4.x開始支持Web service。 jboss-4.2.0有某些改動(dòng),導(dǎo)致ejbca_3_4_1不能讀取jboss的版本信息。

ejbca3.4.2開始支持md5WithRSAEncryption進(jìn)行CA簽名

安裝過程[ ]

  • 設(shè)置系統(tǒng)變量JBOSS_HOME為后jboss所在的目錄。
  • 修改ejbca_3_4_2/conf/ejbca.properties.sample為ejbca.properties,可以修改里面的配置,也可以不改。
  • 到ejbca_3_4_2目錄下 ant bootstrap
  • ant j2ee:run 啟動(dòng)jboss
  • ant install 生成了tomcat服務(wù)器證書,瀏覽器證書。注意按提示輸入。特別是服務(wù)器證書的CN必須是安裝機(jī)器的域名,按默認(rèn)的話則會(huì)導(dǎo)致只有包含localhost的URL能訪問,否則拋出異常:java.io.IOException: HTTPS hostname wrong: should be <xxx>
  • 復(fù)制并關(guān)閉jboss,ant deploy部署ejbca
  • 在瀏覽器里面導(dǎo)入ejbca_3_4_1/p12/superadmin.p12證書,密碼默認(rèn)是ejbca
  • ant j2ee:run,重新啟動(dòng)jboss
  • 打開瀏覽器,輸入https://localhost:8443/ejbca就可以通過web方式管理CA了!

GOS中使用[ ]

在GOS中使用,一般要新建一個(gè)CA,然后使用該CA簽發(fā)證書。注意要選中Use PrintableString encoding in DN選項(xiàng)

  • 在瀏覽器中,打開地址https://localhost:8443/ejbca/adminweb/index.jsp,
  • 創(chuàng)建新CA,CA Functions ->Edit Certificate Authorities 下端 輸入新CA名字 ICTCA 然后點(diǎn)擊create
  • 在subjectDN 輸入:CN=ict,O=ICT,C=CN
  • Signed by 選 AdminCA1
  • Validity (Days) 輸入 3650
  • Use PrintableString encoding in DN選中CRL Expire Period (Hours)填 48
  • 然后提交,新的CA就創(chuàng)建完成。

手工獲取證書[ ]

用JDK中的keytool生成證書請(qǐng)求(X代理安裝的盤符): 

X:\my_jars\cert\c824>keytool -genkey -dname "CN=zjc,OU=Grid,O=ICT,L=BJ,C=CN" -keypass zhujianchao -keystore _zjc.jks -storetype JK
S -storepass zhujianchao -keyalg RSA -keysize 512 -sigalg "sha1withRSA"

X:\my_jars\cert\c824>keytool -certreq -keypass zhujianchao -keystore _zjc.jks -storepass zhujianchao -storetype JKS -file z_req.pe
m -sigalg "sha1withRSA"

新建用戶,注意CN,OU等等DN屬性要與keytool中的一致。

然后到ejbca 的頁(yè)面: 

https://localhost:8443/ejbca/publicweb/apply/apply_man.jsp

填入用戶名、密碼和上面生成的z_req.pem的內(nèi)容

下載CA簽名的證書cert.pem.

將cert.pem和_zjc.jks中包含的私鑰簽出代理證書,用proxyInit工具。

另外,建議使用firefox瀏覽器,若出現(xiàn)報(bào)錯(cuò)信息比較詳細(xì)


通過web service接口使用EJBCA簽發(fā)證書[ ]

1)創(chuàng)建新的管理員用戶,進(jìn)入管理頁(yè)面https://localhost:8443/ejbca/adminweb/index.jsp

  1. Administration-->RA Functions Add End Entity 添加一個(gè)user, 假設(shè)用戶名為clientAdmin,密碼foo123,
  2. CA選最初始的CA(也是給tomcat容器頒發(fā)證書的CA,不然tomcat不會(huì)通過驗(yàn)證,報(bào)錯(cuò)為 javax.xml.ws.WebServiceException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target),
  3. Token選jks file,
  4. Administrator選中。

2)到publicweb-->certEnrollment-->fetch a server generated key store.填入剛才創(chuàng)建的用戶的用戶名和密碼,下載keystore 選1024長(zhǎng)度的證書,假設(shè)名字為clientAdmin.jks 3)Edit Administrator Privileges 把新建的用戶(clientAdmin)加入Administrator組。 4)按http://ejbca.org/manual.html#Additional%20howtos添加相應(yīng)CA的access rules,一般把所有的權(quán)限都加上即可。 5)設(shè)定IP和主機(jī)名映射

若CA服務(wù)器所在的主機(jī)沒有域名,可以在客戶端的主機(jī)設(shè)定ip到主機(jī)名的映射:如我們?cè)赼nt install步驟時(shí)設(shè)定的Web容器證書的CN是cook.net,則我們?cè)诳蛻舳?a href="/wiki/Windows" class="mw-redirect" title="Windows">Windows機(jī)器修改%WINDOWS%\system32\drivers\etc\hosts 增加 

10.61.0.93 cook.net

如果是linux,則用root身份登陸后 修改/etc/hosts 增加 

10.61.0.93 cook.net

6)試用EJBCA自帶的客戶端工具:把第二步獲得的證書放在ejbca_3_4_1\dist\ejbcawscli\,編輯ejbcawsracli.properties,特別要注意 ejbcawsracli.url 中的hostname需要跟Web容器證書的CN一致(Web容器證書在ant intall時(shí)生成),否則報(bào)錯(cuò)java.io.IOException: HTTPS hostname wrong: should be <xxx>

到ejbca_3_4_1\dist\ejbcawscli\目錄,執(zhí)行ejbcawsracli.cmd finduser USERNAME Equals wsadmin,這個(gè)命令通過調(diào)用web service,查詢是否有wsadmin這個(gè)用戶。更多的命令可以通過不帶參數(shù)執(zhí)行ejbcawsracli.cmd 查看

7)使用我們開發(fā)的genCert證書工具包,批量生成私鑰、證書、代理證書

  1. 下載/home/gos2/ICTCA/genCert到客戶主機(jī),也可以直接在原位置操作,只要這臺(tái)機(jī)器知道cook.net對(duì)應(yīng)到EJBCA服務(wù)器的IP地址(同第5步設(shè)置)
  2. 把第二步獲得的證書clientAdmin.jks放在該目錄下
  3. 修改genCert目錄下caclient.properties配置文件
  4. 填上我們創(chuàng)建的新CA的名字:caName=zjcCA
  5. 填上CA服務(wù)器web服務(wù)的URL,注意使用域名而不是IP:caServUrl=https://cook.net:8443/ejbca/ejbcaws/ejbcaws?wsdl
  6. 填上jks證書文件:jksFile=clientAdmin.jks
  7. 證書密碼:jksPass=foo123
  8. 然后執(zhí)行g(shù)enCert.sh即可

參考來源[ ]

http://read.newbooks.com.cn/info/130101.html

EJBCA使用手冊(cè)導(dǎo)航

EJBCA安裝

EJBCA安裝 | EJBCA+JBOSS+Oracle安裝

EJBCA使用

EJBCA的使用 | 使用EJBCA證書服務(wù)的工作整理 | 管理員使用指南