EJBCA是一個全功能的CA系統(tǒng)軟件，它基于J2EE技術(shù)，并提供了一個強大的、高性能并基于組件的CA。EJBCA兼具靈活性和平臺獨立性，能夠獨立使用，也能和任何J2EE 應(yīng)用程序集成。

啟動[ ]

雙擊：ejbca/run.cmd 這是會出現(xiàn)一個Dos窗口來啟動Jboss，同時也啟動了ejbca.最后的時候會出現(xiàn)兩個端口：8080， 8443。這時就可以了。登陸管理界面：用本機瀏覽器輸入

http://sdu-hci-vr:8080/ejbca

注意：點擊administrate，進(jìn)入管理界面（一定要在本機，其他機器上沒有superadmin的證書）

增加一個證書用戶[ ]

• 進(jìn)入adminweb之后，點Add End Entity。在文本框里填上對應(yīng)的用戶信息，在require下面打上對號的，表示必須要填?，F(xiàn)在有兩個CA可以選擇，一般用SDUCA.Token表示證書方式，User Generated表示由用戶來生成密鑰對；jks,p12,pem應(yīng)該表示生成的證書格式。由于系統(tǒng)問題

• 最后點擊add end entity。 用戶首先要下載根證書，于http://sdu-hci-vr:8080/ejbca/publicweb/webdist/index.html。點Fetch CA and OCSP certificate(s)后，下載對應(yīng)的根證書。

• 用戶下載自己的證書有兩個地方，一個是為browser下，http://sdu-hci-vr:8080/ejbca/publicweb/apply/index.html中點for yourbrower,這種方式下載時，一般由CA生成密鑰對，然后將私鑰，證書以及根證書以pem的格式，或者以p12的格式（格式內(nèi)容不清楚）來發(fā)給你。用戶要輸入在end entity表中填入的username 和密碼來取得證書。另一個是為server的，在上述的網(wǎng)頁中點擊manually for server.這時你需要先生成證書請求，然后讓CA給數(shù)字簽名即可。

證書[ ]

證書有三部分： 管理，證書申請和發(fā)放，證書檢測。

• Basic Functions ：可以看根證書信息
• 發(fā)crl 有bug，連接不可用，但是不影響 Edit Certificate Profiles ：

1. 證書配置文件，先敲一個profile的名字，點add。這時會把它加上。選擇它之后，點edit，即可以配置。
2. 改功能主要是限制證書功能，例如發(fā)安全Email，或者SSL連接。還有證書有效期。
3. Edit Publishers ：這個是配置LDAP的地方。
4. Edit Certificate Authorities ： 生成新的CA的地方,在ejbca中可以生成多個根CA。

和lcg的對接[ ]

首先，我們需要以下一些證書：ce的server證書，ui的server證書以及客戶的證書。在實驗過程中，我們都是使用manually for a server的方式來生成證書，它的特點是由用戶生成密鑰對，密鑰由自己保留，同時自己生成證書請求，讓ejbca來簽發(fā)。

注意事項：生成密鑰對和證書請求。（拷一些命令就行）

• 生成證書密鑰:

1. date > .rnd
2. openssl genrsa -rand .rnd -out user-key.pem 1024 (不帶口令保護，用于主機)
3. openssl genrsa -des3 -rand .rnd -out user-key.pem 1024 (帶口令保護，用于普通用戶)

• 生成證書請求 openssl req -new -nodes -key user-key.pem -out user-req.pem –config/usr/share/ssl/openssl.cnf

在提交證書申請之后時，我們用了如下一些選項，來把用戶加到系統(tǒng)的數(shù)據(jù)庫，但是不知道如果選項有缺漏會不會證書失效。 對于server ,CN一定要為機器名（hostname）。

/C=CN/ST=ShanDong/L=JiNan/O=SDU/OU=HPCC/CN=ce.lcg.grid.sdu.edu.cn email=shenjb@126.com

由于ejbca的Web界面無法用大寫字母，我們只好用cmd來建用戶。 ra adduser 回車后，會出現(xiàn)提示，按此提示來輸入。

在Token里面，要選用User Generated,這表明是使用用戶自己產(chǎn)生的密鑰對來生成證書。否則，該CA會再給你生成一對密鑰。

下面是如何在客戶端配置。（就是怎么樣把證書和密鑰放好，修改好配置文件。）

• 使lcg信任該ca中心, 將ca中心的根證書保存為cacert.pem.為了使各個NODE承認(rèn)該CA中心，我們必須將該CA的有關(guān)信息（三個文件,.0，.r0和.signing_policy）存放在各個NODE的/etc/grid-security/certificates/目錄下面:

1. 獲取CA的hash,記為 openssl x509 -in cacert.pem -noout –hash 將CA的證書cacert.pem改名為.0即可。
2. 獲取CRL,將crl文件改名為.r0即可。
3. 手動創(chuàng)建一個.signing_policy #CA in SDU-HPCC access_id_CA X509 /CN=SDUCA/O=HPCC/C=CN pos_rights globus CA:sign cond_subjects globus "/CN=*"
4. 將ce和ui的證書改名為hostcert.pem,私鑰改名為hostkey.pem放到/etc/grid-security/下面

注意:證書權(quán)限為444,密鑰為400.reboot!

• 將用戶證書放到用戶home下的.globus目錄下,改名為usercert.pem,私鑰為userkey.pem,注意權(quán)限,與主機證書密鑰相同.
• 在ce和ui上為用戶生成grid-mapfile.(見lcg文檔)

參考來源[ ]

http://blog.csdn.net/sunrisefe/archive/2005/08/12/452648.aspx