一.官方资料翻译
1.介绍
EJBCA是一个全功能的CA系统软件,它基于J2EE技术,并提供了一个强大的、高性能并基于组件的CA。EJBCA兼具灵活性和平台独立性,能够独立使用,也能和任何J2EE应用程序集成。
2.特征
LGPL开源许可
建立在J2EE 1.3(EJB2.0)规范之上
灵活的、基于组件的体系结构
多级CA
多个CA和多级CA,在一个EJBCA实例中建立一个或者多个完整的基础设施
单独运行,或者在任何J2EE应用中集成它
简单的安装和配置
强大的基于Web的管理界面,并采用了高强度的鉴别算法
支持基于命令行的管理,并支持脚本等功能
支持个人证书申请或者证书的批量生产
服务器和客户端证书能够采用PKCS12, JKS或者PEM格式导出
支持采用Netscape, Mozilla, IE等浏览器直接进行证书申请
支持采用开放API和工具通过其它应用程序申请证书
由RA添加的新用户可以通过email进行提醒
对于新用户验证可以采用随机或者手工的方式生成密码
支持硬件模块,来集成硬件签发系统(例如智能卡)
支持SCEP
支持用特定用户权限和用户组的方式来进行多极化管理
对不同类型和内容的证书可以进行证书配置
对不同类型的用户可以进行实体配置
遵循X509和PKIX(RFC3280)标准
支持CRL
完全支持OCSP,包括AIA扩展
CRL生成和基于URL的CRL分发点遵循RFC3280,可以在任何SQL数据库中存储证书和CRL(通过应用服务器来处理)。
可选的多个发布器,以用来在LDAP中发布证书和CRL
支持用来为指定用户和证书来恢复私钥的密钥恢复模块
基于组件的体系结构,用来发布证书和CRL到不同的目的地
基于组件的体系结构,用来在发布证书时采用多种实体授权方法
容易集成到大型应用程序中,并为集成到业务流程进行了优化
3.开发平台
EJBCA完全采用Java编写,能够在任何采用J2EE服务器的平台上运行。开发和测试是在Linux和Windows2000上进行的。
二.ejbca技术心得
1. 相关软件,开发包
l j2dk 1.4.2 j2ee1.3 在sun公司网站下载 开发包
l jboss 3.2.5 jboss网站
l ejbca 3.0.2 在ejbca.sourceforge.org
l mysql4.0.1 mysql网站
l ant apache网站
l sqlyog mysql图形化管理端
l openssl 可选
2.开发测试环境
OS: windows2000 adv server sp4
DB:mysql
另外还需要解决美国出口限制需要下载强加密包.
mysql连接数据库的jdbc驱动mm.mysql-2.0.4-bin.jar或者mysql-connector-java-3.0.14-production.jar.
3.配置ejbca
1. 配置基本java环境
2. 安装ant,注意设置系统path
3. 安装mysql,建立个数据库,比如ejbca
4. 安装jboss,设置系统path,写数据源配置文件,设置jndiname,设置jboss的环境变量 JBOSS_HOME
5. 配置强加密包.(sun 公司网站) Unlimited Strength Jurisdiction Policy Files' for JDK
6. 解压ejbca到ejbca目录中执行ant进行build.
7. 把编译生成的ear文件拷贝到jboss的部署目录中. $JBOSS_HOME/server/default/deploy directory.
8. 启动jboss自动部署ejbca.
4.Ejbca文档配置翻译
1. Build and deploy everything with 'ant deploy'.
使用ant deploy建构和部署所有部件
2. Start JBoss, ejbca-ca.ear should be deployed.
启动jboss 则ejbca被部署
3. execute 'install.sh/cmd' in the ejbca directory. The installation script
will use the default javacacerts password. If you have changed it (from changeit)
it you should use 'install.sh/cmd '
在ejbca中执行install.sh/cmd,则安装脚本使用了javacacert的默认的密码.假如相应修改它,就使用install.sh/cmd 这个带参数的命令
3. Restart JBoss.
重启jboss
5. Import p12/superadmin.p12 in your browser and go to https://localhost:8443/ejbca
to access the admin GUI of EJBCA.
导入p12/superadmin.p12证书,https://localhost:8443/ejbca 访问ejbca的gui版本管理器
三.配置双向ssl(iis)
1. ca root cert config
1. 到ejbca中的根证书获得页面
2. 获取ca root cert
3. 可以直接安装也可以保存.
4. 完成
2.server config
1. 配置双向的ssl必须给服务器和每个能够访问server的client颁发证书.
2. 通过iis证书向导得到req文件(base64编码).
3. 在ejbca中建立server user.
4. 指定建立key pairs的方式
5. 在证书获得页面输入user_name 和user_password
6. 粘贴req文件
7. 点击保存.
8. 再到iis中通过证书向导找到得到的证书文件
9. 安装证书.
10. 完成.
3.client config
1. 在ejbca中建立用户
2. 指定key pair的生成方式
3. 用户到证书获得页面去输入user_name和user_password
4. 点击保存.(建议不要使用直接安装的方式,使用保存方式)
5. 安装证书
还有点问题,现在的dn不能用大写的,特别是那个C不能用大写感觉很不爽啊!再就是adminweb里面的base functions有点问题.