編輯“EJBCA/EJBCA的使用”（章節(jié)）

===和lcg的對(duì)接===
首先，我們需要以下一些證書：ce的server證書，ui的server證書以及客戶的證書。在實(shí)驗(yàn)過(guò)程中，我們都是使用manually for a server的方式來(lái)生成證書，它的特點(diǎn)是由用戶生成密鑰對(duì)，密鑰由自己保留，同時(shí)自己生成證書請(qǐng)求，讓ejbca來(lái)簽發(fā)。

注意事項(xiàng)：生成密鑰對(duì)和證書請(qǐng)求。（拷一些命令就行）
*生成證書密鑰: 
#date > .rnd  
#openssl genrsa -rand .rnd -out user-key.pem 1024 (不帶口令保護(hù)，用于[[主機(jī)]]) 
#openssl genrsa -des3 -rand .rnd -out user-key.pem 1024 (帶口令保護(hù)，用于普通用戶)

*生成證書請(qǐng)求 openssl req -new -nodes -key user-key.pem -out user-req.pem –config/usr/share/ssl/openssl.cnf

在提交證書申請(qǐng)之后時(shí)，我們用了如下一些選項(xiàng)，來(lái)把用戶加到系統(tǒng)的[[數(shù)據(jù)庫(kù)]]，但是不知道如果選項(xiàng)有缺漏會(huì)不會(huì)證書失效。 對(duì)于server ,CN一定要為機(jī)器名（hostname）。
 /C=CN/ST=ShanDong/L=JiNan/O=SDU/OU=HPCC/CN=ce.lcg.grid.sdu.edu.cn email=shenjb@126.com

由于ejbca的[[Web]]界面無(wú)法用大寫字母，我們只好用cmd來(lái)建用戶。 '''ra adduser''' 回車后，會(huì)出現(xiàn)提示，按此提示來(lái)輸入。 

在Token里面，要選用User Generated,這表明是使用用戶自己產(chǎn)生的密鑰對(duì)來(lái)生成證書。否則，該CA會(huì)再給你生成一對(duì)密鑰。 

下面是如何在客戶端配置。（就是怎么樣把證書和密鑰放好，修改好配置文件。）
*使lcg信任該ca中心, 將ca中心的根證書保存為cacert.pem.為了使各個(gè)NODE承認(rèn)該CA中心，我們必須將該CA的有關(guān)信息（三個(gè)文件,.0，.r0和.signing_policy）存放在各個(gè)NODE的/etc/grid-security/certificates/目錄下面:
#獲取CA的hash,記為 openssl x509 -in cacert.pem -noout –hash 將CA的證書cacert.pem改名為.0即可。 
#獲取CRL,將crl文件改名為.r0即可。 
#手動(dòng)創(chuàng)建一個(gè).signing_policy #CA in SDU-HPCC access_id_CA X509 /CN=SDUCA/O=HPCC/C=CN pos_rights globus CA:sign cond_subjects globus "/CN=*" 
#將ce和ui的證書改名為hostcert.pem,私鑰改名為hostkey.pem放到/etc/grid-security/下面

注意:證書權(quán)限為444,密鑰為400.reboot! 

*將用戶證書放到用戶home下的.globus目錄下,改名為usercert.pem,私鑰為userkey.pem,注意權(quán)限,與主機(jī)證書密鑰相同. 
*在ce和ui上為用戶生成grid-mapfile.(見lcg文檔)