編輯“EJBCA/EJBCA的使用”（章節(jié)）

==證書==
證書有三部分： 管理，證書申請和發(fā)放，證書檢測。 
*Basic Functions ：可以看根證書信息 
*發(fā)crl 有bug，連接不可用，但是不影響 Edit Certificate Profiles ：
#證書配置文件，先敲一個profile的名字，點add。這時會把它加上。選擇它之后，點edit，即可以配置。
#改功能主要是限制證書功能，例如發(fā)安全[[Email]]，或者[[SSL]]連接。還有證書有效期。 
#Edit Publishers ：這個是配置[[LDAP]]的地方。 
#Edit Certificate Authorities ： 生成新的CA的地方,在ejbca中可以生成多個根CA。

===和lcg的對接===
首先，我們需要以下一些證書：ce的server證書，ui的server證書以及客戶的證書。在實驗過程中，我們都是使用manually for a server的方式來生成證書，它的特點是由用戶生成密鑰對，密鑰由自己保留，同時自己生成證書請求，讓ejbca來簽發(fā)。

注意事項：生成密鑰對和證書請求。（拷一些命令就行）
*生成證書密鑰: 
#date > .rnd  
#openssl genrsa -rand .rnd -out user-key.pem 1024 (不帶口令保護，用于[[主機]]) 
#openssl genrsa -des3 -rand .rnd -out user-key.pem 1024 (帶口令保護，用于普通用戶)

*生成證書請求 openssl req -new -nodes -key user-key.pem -out user-req.pem –config/usr/share/ssl/openssl.cnf

在提交證書申請之后時，我們用了如下一些選項，來把用戶加到系統(tǒng)的[[數(shù)據(jù)庫]]，但是不知道如果選項有缺漏會不會證書失效。 對于server ,CN一定要為機器名（hostname）。
 /C=CN/ST=ShanDong/L=JiNan/O=SDU/OU=HPCC/CN=ce.lcg.grid.sdu.edu.cn email=shenjb@126.com

由于ejbca的[[Web]]界面無法用大寫字母，我們只好用cmd來建用戶。 '''ra adduser''' 回車后，會出現(xiàn)提示，按此提示來輸入。 

在Token里面，要選用User Generated,這表明是使用用戶自己產(chǎn)生的密鑰對來生成證書。否則，該CA會再給你生成一對密鑰。 

下面是如何在客戶端配置。（就是怎么樣把證書和密鑰放好，修改好配置文件。）
*使lcg信任該ca中心, 將ca中心的根證書保存為cacert.pem.為了使各個NODE承認該CA中心，我們必須將該CA的有關(guān)信息（三個文件,.0，.r0和.signing_policy）存放在各個NODE的/etc/grid-security/certificates/目錄下面:
#獲取CA的hash,記為 openssl x509 -in cacert.pem -noout –hash 將CA的證書cacert.pem改名為.0即可。 
#獲取CRL,將crl文件改名為.r0即可。 
#手動創(chuàng)建一個.signing_policy #CA in SDU-HPCC access_id_CA X509 /CN=SDUCA/O=HPCC/C=CN pos_rights globus CA:sign cond_subjects globus "/CN=*" 
#將ce和ui的證書改名為hostcert.pem,私鑰改名為hostkey.pem放到/etc/grid-security/下面

注意:證書權(quán)限為444,密鑰為400.reboot! 

*將用戶證書放到用戶home下的.globus目錄下,改名為usercert.pem,私鑰為userkey.pem,注意權(quán)限,與主機證書密鑰相同. 
*在ce和ui上為用戶生成grid-mapfile.(見lcg文檔)