Académique Documents
Professionnel Documents
Culture Documents
Installation Ejbca Debian Lenny 1.0 1
Installation Ejbca Debian Lenny 1.0 1
Document crit partir de la documentation d'installation EJBCA version dbian ETCH v1.0 de linagora par Andr PELL et Y.Quenec'hdu
1/22
install-ejbca-debian-lenny-v1.0
version
V1.0
date
07/11/09
auteur
Sylvain boquet
Objet de l'evolution
rdaction
2/22
install-ejbca-debian-lenny-v1.0
License
3/22
install-ejbca-debian-lenny-v1.0
3.2.1 Installation de la base de donnes MySQL........................................................................9 3.2.2 Cration dune base de donnes et dun utilisateur MySQL.............................................9
3.3 Apache Ant ............................................................................................................................................................10 3.4 JAVA et JCE ...........................................................................................................................................................10
4.3.1 Configuration dEJBCA...................................................................................................14 4.3.2 mise jour jboss...............................................................................................................14 4.3.2 Adapter les fichiers de configuration...............................................................................14 4.3.3 Le fichier database.properties ......................................................................................15 4.3.4 Le fichier cmp.properties .............................................................................................15 4.3.5 Le fichier xkms.properties ...........................................................................................15 4.3.6 Le fichier web.properties .............................................................................................16 4.3.7 Le fichier protection.properties ....................................................................................16 4.3.8 Le fichier mail.properties .............................................................................................17 4.3.9 Le fichier catoken.properties.........................................................................................17 4.3.10 Le fichier jaxws.properties .........................................................................................17 4.3.11 Le fichier ejbca.properties ..........................................................................................17 5 Compilation et installation de EJBCA............................................................................................19
5.1 La compilation de EJBCA .....................................................................................................................................19 5.2 Gnration des certificats........................................................................................................................................19 5.3 Installation de EJBCA ............................................................................................................................................20 5.4 Vrification.............................................................................................................................................................20
5.4.1 JBOSS..............................................................................................................................20
5.5 Importation du certificat administrateur.................................................................................................................20
4/22
install-ejbca-debian-lenny-v1.0
Notations
Le code informatique
Les sorties terminales sont reprsentes ainsi :
$ commande1 # commande2
Les commandes excuter avec des droits utilisateurs sont prcdes du caractre $ tandis que celles excuter les droits root sont prcdes du caractre # . Ces caractres ne sont pas saisir dans la ligne de commande. Le contenu ou un extrait de fichier est reprsent ainsi :
# Ceci est un fichier parameter="value"
Les noms de variables, les extraits de code et les adresses web seront composs en police chasse fixe. Exemples ladresse du site web de Linagora est http://www.linagora.com/ ;
5/22
install-ejbca-debian-lenny-v1.0
1 Introduction
L'objet du prsent document est la description de l'installation de EJBCA 3.9.2 dans un environnement Debian LENNY. Le document fait rfrence deux environnements, un environnement de pr-production qui est utilis pour compiler la PKI EJBCA et un deuxime environnement dit de production qui permet de recevoir la PKI EJBCA sans devoir la compiler de nouveau. Cette mthode est propose pour viter d'installer des applications de compilation sur un environnement de production. Toutefois pour des besoins de tests, l'installation en mode prproduction peut suffire.
6/22
install-ejbca-debian-lenny-v1.0
7/22
install-ejbca-debian-lenny-v1.0
Il convient prsent de crer une base de donnes pour EJBCA l'aide de la commande suivante :
mysql>CREATE DATABASE ejbca;
Pour crer un nouvel utilisateur et l'autoriser accder la base de donnes, on procde comme suit :
mysql>CREATE USER 'ejbca'@'localhost' IDENTIFIED BY 'ejbca';
Cette commande permet de crer un utilisateur ejbca pouvant accder la base en local avec le mot de passe ejbca .
8/22
install-ejbca-debian-lenny-v1.0
La commande suivante permet d'ajouter les droits de l'utilisateur ejbca pour la base ejbca.
mysql>GRANT SELECT,INSERT,UPDATE,DELETE,CREATE ON ejbca.* TO 'ejbca'@'localhost'; mysql>exit
Pour vrifier le bon fonctionnement, il suffit d'excuter (de prfrence en tant quutilisateur standard) la commande suivante :
# mysql ejbca --user ejbca -p Password: [...] mysql=> puis mysql>exit pour sortir de la base de donnes
Le paramtrage dfinitif des variables denvironnement se fera en une seule fois aprs linstallation de JBoss. Il faut maintenant procder linstallation de lextension JCE (qui permet dutiliser des tailles de cls plus grandes). Dcompresser le fichier depuis le rpertoire o vous avez dpos le fichier jce_policy-6.zip :
# # # # # # # cp jce_policy-6.zip /opt cd /opt unzip jce_policy-6.zip cd jce cp *.jar $JAVA_HOME/jre/lib/security/ cd /opt rm -rf jce jce_policy-6.zip
9/22
install-ejbca-debian-lenny-v1.0
3.5 Jboss
Le tlchargement du composant suivant est ncessaire : jboss-5.1.0.GA Il se trouve sur le site de JBoss l'adresse suivante http://labs.jboss.com/jbossas/downloads/ jboss-5.1.0.GA-jdk6.zip
Crer un utilisateur jboss avec comme rpertoire de travail /opt/jboss et positionner les droits sur le rpertoire jboss :
# adduser home /opt/jboss jboss
Saisir le nouveau mot de passe pour l'utilisateur jboss. Cration du rpertoire de logs
# mkdir /var/log/jboss/ # chown jboss:jboss /var/log/jboss/
Connecteur JDBC pour une base de donnes MySQL Pour que JBoss puisse se connecter la base de donnes, il est ncessaire d'installer le connecteur JDBC.
# apt-get install libmysql-java # cp /usr/share/java/mysql-connector-java*.jar /opt/jboss/server/default/lib/
Affecter le repertoire /opt/java l'utilisateur jboss LICENCE Creative Commons 10/22 install-ejbca-debian-lenny-v1.0
4 Post-installation
4.1 Variables denvironnement
Les variables denvironnement suivantes doivent tre renseignes dans le fichier /etc/profile ajouter dans le fichier /etc/profile avant la dernire jigne ( umask 022) :
# export variable mmoire pour java export ANT_OPTS=-Xmx640m # export des variables denvironnement JAVA_HOME et JBOSS_HOME export JAVA_HOME=/opt/java export JBOSS_HOME=/opt/jboss # export de la variable denvironnement JBOSS_HOST export JBOSS_HOST=0.0.0.0 # Ajout des variables d'environnement pour ANT export ANT_HOME=/opt/ant # Ajout de la variable d'environnement pour EJBCA export EJBCA_HOME=/opt/ejbca # Fichier de log Jboss export JBOSS_CONSOLE=/var/log/jboss.log # Utilisateur utiliser pour dmarrer jboss export JBOSSUS=jboss # Serveur jboss utiliser export JBOSS_SERVER=default # Ajout du rpertoire dans le PATH systme export PATH=$JAVA_HOME/bin:$ANT_HOME/bin:$PATH
Une fois ce fichier sauvegard avec les droits d'excution, il est ncessaire de se dconnecter puis reconnecter pour prendre en compte ces paramtres
11/22
install-ejbca-debian-lenny-v1.0
Documentation d'installation EJBCA version Debian LENNY Se placer dans le rpertoire /etc/init.d/ et crer le fichier ejbca.sh :
# cd /etc/init.d/ # touch jboss
#!/bin/sh start(){ echo "starting jboss.." su -l jboss -c '/opt/jboss/bin/run.sh >> /var/log/jboss/log 2>>/var/log/jboss/errors &' } stop(){ echo "stopping jboss.." # su -l jboss -c '/opt/jboss/bin/shutdown.sh -S &' su -l jboss -c '/opt/jboss/bin/shutdown.sh -S' } restart(){ stop # on dfinit un temps d'attente afin de laisser le service JBOSS s'arreter avant de le relancer sleep 60 su -l jboss -c 'killall java' start } case "$1" in start) start ;; stop) stop ;; restart) restart ;; *) echo "Usage: jboss {start|stop|restart}" exit 1 esac exit 0
Pour terminer il est ncessaire d'excuter les commandes suivantes pour lancer jboss en automatique :
12/22
install-ejbca-debian-lenny-v1.0
4.3 EJBCA
La PKI EJBCA est disponible en tlchargement depuis le site www.ejbca.org. Une fois EJBCA tlcharg, il faut dcompresser le ficher dans un rpertoire de travail tels que opt par exemple.
Presque toutes les manipulations suivantes ne ncessitant pas les droits root, lutilisateur jboss sera prfr.
# su jboss
13/22
install-ejbca-debian-lenny-v1.0
Documentation d'installation EJBCA version Debian LENNY Attention ! Mme si vous ne souhaitez pas personnaliser la configuration, il reste ncessaire d'effectuer la manipulation prcdemment dcrite avec le fichier ejbca.properties.sample et le fichier database.properties.sample afin de pouvoir continuer. En effet, ces fichiers sont indispensables l'installation de EJBCA avec une base de donnes.
Avec une base de donnes Mysql Les directives modifier du fichier de configuration database.properties sont les suivantes : 1. La base de donnes
#database.name=mysql
3. Le pilote JDBC
#database.driver=com.mysql.jdbc.Driver
Dcommentez la ligne :
database.driver=com.mysql.jdbc.Driver
Documentation d'installation EJBCA version Debian LENNY pas utilis dans le cadre de ce projet. Pour plus d'informations sur le contenu de ce fichier de configuration, consultez le guide de l'administrateur
description
Spcifie le mot de passe protgeant le keystore du JDK,par dfaut changeit Mot de passe utilis pour protger le certificat super administrateur (superadmin.p12) Positionner true si vous voulez rcuprer le certificat superadmin l'aide de l'interface publique au lieu del'importer dans le rpertoire $EJBCA_HOME/p12 Mot de passe utilis pour protger le certificat du serveur HTTP du serveur dapplications Nom dhte utiliser pour la gnration du certificat HTTP du serveur dapplications DN du certificat Port de linterface publique en HTTP (par dfaut 8080) Port de linterface publique en HTTPS (par dfaut 8442) Port de linterface priv, certificat client requis. (par dfaut 8443) Langues disponibles pour linterface web dEJBCA Codage des pages JSP. Par dfaut ISO-8859-1 Langue utiliser pour les logs Langue utiliser en cas dabsence de traduction dans la langue voulue Positionner true les administrateurs pourront voir les codes PIN.PUK initiaux des tokens physiques Nombre maximum de logs afficher Spcifie limplmentation JSF dployer
httpsserver.password httpsserver.hostname httpsserver.dn httpserver.pubhttp httpserver.pubhttps httpserver.privhttps web.availablelanguages web.contentencoding intresources.preferredlanguage intresources.secondarylanguage hardtoken.diplaysensitiveinfo log.maxqueryrowcount web.jsfimpl
15/22
install-ejbca-debian-lenny-v1.0
Documentation d'installation EJBCA version Debian LENNY Ce fichier permet dactiver et de configurer les oprations de signatures sur lapplication EJBCA. Pour plus d'informations sur le contenu de ce fichier de configuration, consultez le guide de l'administrateur
Proprit
Description Nom de linterface dans larbre JNDI, ne pas modifier cette variable Nom dutilisateur pour lauthentification SMTP Mot de passe pour lauthentification SMTP Nom dhte o envoyer les messages Boolen. Si vrai, utilise lauthentification SMTP Adresse de lmetteur utiliser pour lmission de courriel Active le debug pour le composant JavaMail Sujet par dfaut utilis pour la notification dun certificat en attente Corps du message par dfaut pour la notification. Il est possible d'utiliser des variables : ${USERNAME} : nom de l'entitit ${PASSWORD} : mot de passe de l'entit ${CN} : le CN de l'entit ${O} : organisation de l'entit ${OU} ${C} : pays de l'entit ${DATE} : la date du jour ${NL} : saut de ligne
Documentation d'installation EJBCA version Debian LENNY d'informations sur le contenu de ce fichier de configuration, consultez le guide de l'administrateur
Proprit appserver.type
Description Type de serveur d'applications utilis pour le dploiement de EJBCA : JBOSS, Glassfish, WebSphere, etc. Rpertoire du serveur d'applications. Si les variables d'environnement APPRV_HOME ou JBOSS_HOME sont paramtres, il n'est pas ncessaire de modifier ce paramtre. Compilateur JAVA utilis. Par dfaut, javac. Version de JAVA utilise. EJBCA ne supporte actuellement que la version 1.5 du JDK. Nom de l'AC Racine cr l'installation de EJBCA DN de l'AC racine Type de token gnr. Par dfaut, la gnration se fait grce EJBCA (soft), sans support physique. Positionner null par dfaut. Fichier de configuration dans le cas d'un support matriel pour la cryptographie; Taille de clef par dfaut. Type d'algorithme utilis par dfaut pour la clef. Type d'algorithme utilis par dfaut pour la signature du certificat. Dure de validit des AC par dfaut. Numro de la politique de scurit utilis pour les AC. null reprsente aucune politique. Mot de passe protgeant la clef prive des AC dans la base de donnes. Mot de passe protgeant le keystore OCSP dans la base de donnes. Mot de passe protgeant le keystore XMKS dans la base de donnes. Mot de passe protgeant le keystore CMP dans la
appserver.home
build.compiler java.ver
ca.tokenpassword ca.tokenproperties
ca.keystorepas
ca.ocspkeystorepass
ca.xkmskeystorepass
ca.cmskeystorepass
17/22
install-ejbca-debian-lenny-v1.0
Service de logs log4j false : configuration par dfaut de log4j basic : tout est affich la console $EJBCA_HOME/conf/log4j.properties : utilise le fichier de configuration Type de configuration de JBOSS (c.--d. le rpertoire d'installation dans JBOSS) Nom du rpertoire de dploiement dans JBOSS Rpertoire des classes pour contrler les token physiques
jboss.config
18/22
install-ejbca-debian-lenny-v1.0
Documentation d'installation EJBCA version Debian LENNY Si lensemble des oprations de compilation sest bien pass, la deuxime tape consiste gnrer les certificats ncessaires EJBCA. Cette opration est ralise avec la commande suivante : Pr-requis : JBOSS et la base de donnes doivent tre dmarrs.
$ /etc/init.d/jboss start attendez que jboss soit dmarr ( de 30 secondes plusieurs minutes suivant votre machine) en consultant les fichiers de log de jboss /var/log/jboss/log . $ cd $EJBCA_HOME $ ant install quittez le compte jboss #exit #cd $EJBCA_HOME # ant javatruststore # chown -R jboss:jboss /opt/jboss/
Il vous sera demand le distinguished name (DN) du certificat serveur lors de cette tape. Si et seulement si vous n'avez pas configur les certificats par dfaut dans le fichier de configuration ejbca.properties
la fin de cette opration, lensemble des certificats aura t gnr, tels que le fichier PKCS#12 pour ladministrateur, celui-ci figure dans le rpertoire $EJBCA_HOME/p12.
Si lopration de dploiement a russi avec succs, dmarrer le serveur JBOSS et installer le certificat superadministrateur dans votre navigateur (voir section importer un certificat administrateur).
5.4 Vrification
5.4.1 JBOSS
La commande suivante permet de vrifier les logs de JBOSS pour vrifier la prsence ou non d'erreur :
$ /etc/init.d/jboss start $ tail f /var/log/jboss/log
19/22
install-ejbca-debian-lenny-v1.0
Slectionner le bouton Avanc , puis longlet Chiffrement ; et enfin cliquer sur le bouton Afficher les certificats .
20/22
install-ejbca-debian-lenny-v1.0
Saisir le mode de passe de votre navigateur, ce mot de passe permet de protger le magasin de certificats.
Saisir le mot de passe du fichier PKCS #12 (.p12), ce mot de passe a t saisi lors de ltape de cration des certificats de tests.
21/22
install-ejbca-debian-lenny-v1.0
Lintgration du certificat SuperAdmin est russie ! Une fois le certificat intgr dans votre navigateur, veuillez vous connecter sur linterface dadministration lURL suivante :
22/22
install-ejbca-debian-lenny-v1.0