EJBCA 管理员使用手册(记录制证步骤)
EJBCA 管理员使用手册
本文只是本人使用ejbca架设CA的过程,其中包括了建子CA,建证书属性模板等。
架设EJBCA中间碰到了很多问题,不过还是都基本解决了!
基本上满足制作证书的要求。
参考文章:http://www.zzbaike.com/wiki/EJBCA/%E7%AE%A1%E7%90%86%E5%91%98%E4%BD%BF%E7%94%A8%E6%8C%87%E5%8D%97
-------------------------------从这里开始----------------------------------------------
1.进入:http://localhost:8080/ejbca
2.点击 Miscellaneous -> Administration,进入管理员界面
注意:所有没有提过得字段,表示适用默认值.
3.新增子CA
3.1 CA Functions -> Edit Certificate Authorities
3.2 Add -> 子CA名称 -> Create
3.3 RSA key size : 选2048
3.4 Subject DN : 输入Subject DN
3.5 Signed By : 选择根CA
3.6 Validity (*y *mo *d) or end date of the certificate : 时间,我一般填3650d
3.7 CRL Number Critical : 选中
3.8 Use Issuing Distribution Point on CRLs : 选中
3.9 Issuing Distribution Point on CRLs Critical : 选中
3.10 Default CRL Dist. Point : 点击Generate.后面需要修改
3.11 Default CRL Issuer : 点击Generate.
3.12 Approval Settings :这里一个都不要选,选了很麻烦的(增加证书需要审核)!血的教训
3.13 点击按钮 Create
4. Edit Certificate Profiles(编辑/增加 证书属性)
4.1 Validity (*y *mo *d) or end date of the certificate : 填有效期(我的的是3650d)
4.2 CRL Distribution Point Critical : 选中
4.3 CRL Distribution Point URI : CRL分发点的URI,这个可以从CA Function -> Basic Functions -> get CRL 那里找
4.4 CRL issue : CRL 发布人
4.5 Key usage : 根据需要选 密钥用法
4.6 Use Extended Key Usage :根据需要选择 扩展密钥用法
4.7 Available CAs :这里选择你当前的Certificate Profiles给那个CA ,第3步增加的CA和根CA都在这里。
4.8 Type : 如果Available CAs选择的是子CA ,那么这里必须选择Sub CA,否则在证书导入到IE里面会有问题:如证书路径等问题。
4.9 Approval Settings : 这里不要选
4.10 点击按钮 Save
5. Edit End Entity Profiles(编辑/新增 实体属性)
5.1 RA Functions -> Edit End Entity Profiles
5.2 Add Profile -> 输入实体属性名 -> Add
5.3 Subject DN Fields : 这里根据你的需求选择主题字段,默认只有一个Common Name
5.4 Subject Alternative Name Fields : 根据你自己的需求,选择备用主题字段
5.5 Subject Directory Attribute Fields : 根据你自己的需要增加
5.6 Default Certificate Profile : 选择你默认证书属性模板,也就是第4步。
5.7 Available Certificate Profiles : 选择5.6步中选择的和ENDUSER ,或根据自己的需要选择。
5.8 Default CA : 默认CA,我选择了第3步新增的子CA。
5.9 Available CAs : 可用的CA,这里选择5.8步选择的子CA。
5.10 Default Token :根据自己的需要选择(下载证书的文件类型),我选的是 P12 File
5.11 Available Tokens : 我选的是P12 File
5.12 点击按钮 Save
6.Add End Entity(增加实体,制证)
6.1 RA Functions -> Add End Entity
6.2 End Entity Profile : 选择实体属性模板,选第5步制作的模板
6.3 根据label,在文本框中填入对应的数据,默认不能填中文,需要修改 ejbca/src/adminweb/ejbcajslib.js ,
修改js验证方法,验证是用正则表达式验证,在正则表达式中加入 \u4e00-\u9fa5 ,再重新发布下。
6.4 Certificate Profile : 根据需要选择
6.5 CA 、Token : 同上
6.7 点击按钮 Add End Entity
7. 下载证书
7.1 点击 Public Web,进入下载证书页面
7.2 Enroll -> Create Browser Certificate
7.3 输入 UserName 、Password
7.4 点击 OK
7.5 Options -> Leave value as default is unsure -> key length : 这个地方是选择密钥长度,我这里选择 1024bits
7.6 Certificate profile: 根据自己再上面步骤中的选择
7.7 点击 OK 。如果你安装了迅雷,如果迅雷下载框先弹出的话,
一定要选 使用IE下载.迅雷下载会失败。如果你用firefox的话,可能下载下来的证书文件名乱码,需要修改下文件名和后缀。
8.导入证书。 这一步不多说,双击一路下一步,中间会要输密码。
9.查看证书信息(IE为例)
9.1 工具
9.2 Internet 选项
9.3 内容
9.4 证书
9.5 在个人tab中找到刚刚导入的证书后,双击打开。
本文只是本人使用ejbca架设CA的过程,其中包括了建子CA,建证书属性模板等。
架设EJBCA中间碰到了很多问题,不过还是都基本解决了!
基本上满足制作证书的要求。
参考文章:http://www.zzbaike.com/wiki/EJBCA/%E7%AE%A1%E7%90%86%E5%91%98%E4%BD%BF%E7%94%A8%E6%8C%87%E5%8D%97
-------------------------------从这里开始----------------------------------------------
1.进入:http://localhost:8080/ejbca
2.点击 Miscellaneous -> Administration,进入管理员界面
注意:所有没有提过得字段,表示适用默认值.
3.新增子CA
3.1 CA Functions -> Edit Certificate Authorities
3.2 Add -> 子CA名称 -> Create
3.3 RSA key size : 选2048
3.4 Subject DN : 输入Subject DN
3.5 Signed By : 选择根CA
3.6 Validity (*y *mo *d) or end date of the certificate : 时间,我一般填3650d
3.7 CRL Number Critical : 选中
3.8 Use Issuing Distribution Point on CRLs : 选中
3.9 Issuing Distribution Point on CRLs Critical : 选中
3.10 Default CRL Dist. Point : 点击Generate.后面需要修改
3.11 Default CRL Issuer : 点击Generate.
3.12 Approval Settings :这里一个都不要选,选了很麻烦的(增加证书需要审核)!血的教训
3.13 点击按钮 Create
4. Edit Certificate Profiles(编辑/增加 证书属性)
4.1 Validity (*y *mo *d) or end date of the certificate : 填有效期(我的的是3650d)
4.2 CRL Distribution Point Critical : 选中
4.3 CRL Distribution Point URI : CRL分发点的URI,这个可以从CA Function -> Basic Functions -> get CRL 那里找
4.4 CRL issue : CRL 发布人
4.5 Key usage : 根据需要选 密钥用法
4.6 Use Extended Key Usage :根据需要选择 扩展密钥用法
4.7 Available CAs :这里选择你当前的Certificate Profiles给那个CA ,第3步增加的CA和根CA都在这里。
4.8 Type : 如果Available CAs选择的是子CA ,那么这里必须选择Sub CA,否则在证书导入到IE里面会有问题:如证书路径等问题。
4.9 Approval Settings : 这里不要选
4.10 点击按钮 Save
5. Edit End Entity Profiles(编辑/新增 实体属性)
5.1 RA Functions -> Edit End Entity Profiles
5.2 Add Profile -> 输入实体属性名 -> Add
5.3 Subject DN Fields : 这里根据你的需求选择主题字段,默认只有一个Common Name
5.4 Subject Alternative Name Fields : 根据你自己的需求,选择备用主题字段
5.5 Subject Directory Attribute Fields : 根据你自己的需要增加
5.6 Default Certificate Profile : 选择你默认证书属性模板,也就是第4步。
5.7 Available Certificate Profiles : 选择5.6步中选择的和ENDUSER ,或根据自己的需要选择。
5.8 Default CA : 默认CA,我选择了第3步新增的子CA。
5.9 Available CAs : 可用的CA,这里选择5.8步选择的子CA。
5.10 Default Token :根据自己的需要选择(下载证书的文件类型),我选的是 P12 File
5.11 Available Tokens : 我选的是P12 File
5.12 点击按钮 Save
6.Add End Entity(增加实体,制证)
6.1 RA Functions -> Add End Entity
6.2 End Entity Profile : 选择实体属性模板,选第5步制作的模板
6.3 根据label,在文本框中填入对应的数据,默认不能填中文,需要修改 ejbca/src/adminweb/ejbcajslib.js ,
修改js验证方法,验证是用正则表达式验证,在正则表达式中加入 \u4e00-\u9fa5 ,再重新发布下。
6.4 Certificate Profile : 根据需要选择
6.5 CA 、Token : 同上
6.7 点击按钮 Add End Entity
7. 下载证书
7.1 点击 Public Web,进入下载证书页面
7.2 Enroll -> Create Browser Certificate
7.3 输入 UserName 、Password
7.4 点击 OK
7.5 Options -> Leave value as default is unsure -> key length : 这个地方是选择密钥长度,我这里选择 1024bits
7.6 Certificate profile: 根据自己再上面步骤中的选择
7.7 点击 OK 。如果你安装了迅雷,如果迅雷下载框先弹出的话,
一定要选 使用IE下载.迅雷下载会失败。如果你用firefox的话,可能下载下来的证书文件名乱码,需要修改下文件名和后缀。
8.导入证书。 这一步不多说,双击一路下一步,中间会要输密码。
9.查看证书信息(IE为例)
9.1 工具
9.2 Internet 选项
9.3 内容
9.4 证书
9.5 在个人tab中找到刚刚导入的证书后,双击打开。