Manual EJBCAv2

PROYECTO:
IMPLEMENTACIN DE UNA SOLUCIN DE CORREO ELECTRNICO MILITAR PARA LAS FUERZAS ARMADAS
IMPLEMENTACIN PKI FUERZAS ARMADAS
1
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Contenido
IMPLEMENTACIN PKI FUERZAS ARMADAS ....................................................... 1 CREACION DEL USUARIO ADMINISTRADOR DE LA CA RAIZ ....................... 3 PROCESO PARA LA CREACIN DE LA CASUBORDINADA ............................. 6 CREACIN DEL PUBLISHER .................................................................................. 7 CREACIN DEL PERFIL DE CERTIFICADO PARA LA CASUB .......................... 9 CREACIN DE LA AUTORIDAD DE CERTIFICACIN SUBORDINADA ........11 CREACIN DEL PERFIL DE CERTIFICADO PERFIL SERVIDORES ................ 21 CREACIN DEL PERFIL DE ENTIDAD FINAL PERFIL SERVIDORES ............ 23 CREACIN DEL CERTIFICADO DEL SERVIDOR DE EJBCA ........................... 25 Creacin de los Roles de Acceso a la Interfaz de Administracin de la Entidad de Certificacin ........................................................................................................... 26 Creacin del Perfil de Certificado Perfil Administrador ........................................ 26 CREACIN DEL PERFIL DE CERTIFICADO PERFIL OPERADOR .................. 28 CREACIN DEL PERFIL DE ENTIDAD FINAL PARA EL OPERADOR ............ 32 CREACION DEL CERTIFICADO DEL ADMINISTRADOR DE LA PKI ............. 34 CREACIN DEL CERTIFICADO DE ADMINISTRADOR DE LA CA ................ 35 CREACIN DEL CERTIFICADO DE ADMINISTRADOR DE LA RA ................ 37 ASIGNACIN DE LOS USUARIOS A LOS ROLES DE ADMINISTRACIN. ... 40 Administrador de la CA .......................................................................................... 40 Administrador de la RA .......................................................................................... 41 Operador de la RA ................................................................................................. 42 RENOVACION DEL KEYSTORE DEL SERVIDOR .............................................. 43 CREACIN DE LOS PERFILES DE CERTIFICADO PARA LOS USUARIOS FINALES .................................................................................................................... 44 CREACIN DEL PERFIL DE USUARIO FINAL ................................................... 46 Configuracin de Notificaciones ............................................................................ 47 CREACIN DEL CERTIFICADO DE USUARIO ADMINISTRADOR ................ 49 CREACIN DEL GRUPO OPERADORES ............................................................. 50 EMISIN DE CERTIFICADOS PARA LOS USUARIOS FINALES ...................... 52
2
CREACIN DEL USUARIO ADMINISTRADOR DE LA CA RAIZ

Crear el Perfil de Certificado de Administrador En el men lateral izquierdo seleccionamos la opcin Editar Perfiles de Certificacin y se mostrar la siguiente ventana:
Para crear el perfil del certificado en la opcin uso de clave debemos seleccionar los usos que se darn al certificado, marcando: Firma Digital No-repudio Cifrado de clave
En la opcin uso de clave extendida seleccionar: Autenticacin de Cliente
En el men CAs disponibles seleccionamos CARaizFuerzasArmadas. En el men Publicadores seleccionamos la opcin LDAPFUERZASARMADAS
3
Posteriormente creamos el Perfil de Entidad Final para Administrador y creamos la Entidad Final
Ingresamos a la opcin Editar privilegios de Administrador y creamos el Grupo Administrador de la PKI.
4
Luego agregamos al grupo el usuario creado superadministradorraiz en base al Nmero Serial del Certificado y como CA la CARaizFuerzasArmadas.
A continuacin ingresamos a la opcin Editar Reglas de Acceso y le damos permiso de superadministrador.
5
Finalmente procedemos a Borrar el grupo de Administrador, los usuarios temporales creados en el momento de la instalacin de EJBCA y la CA Raiz Temporal.
PROCESO PARA LA CREACIN DE LA CASUBORDINADA

Ingresamos a la interfaz de administracin de la aplicacin empleando el certificado del usuario temporal creado durante el proceso de instalacin de la entidad de certificacin creado con privilegios de super administrador.
Posteriormente seleccionamos el certificado de dicho usuario visualizndose la interfaz de administracin:
6
CREACIN DEL PUBLISHER

En la interfaz de administracin seleccionamos del panel lateral izquierdo Edit Publisher y se muestra la siguiente interfaz:
En la interfaz mostrada anteriormente en el campo Agregar escribimos el nombre del publicador a crear y presionamos el botn Agregar, mostrndose la siguiente interfaz.
7
El la interfaz mostrada especificamos los siguientes parmetros: Tipo de Publicador: LDAP V3 Publisher Hostames: Direccin_IP_servidor_LDAP Puerto de Conexin: 389 o 636 (SSL) Base DN: dc=dominio, dc=com, dc=ec Ejemplo: Base DN: dc=fae, dc=mil, dc=ec Login DN: cn=admin,dc=dominio,dc=com,dc=ec Login Password: passwadmin Confirm Password: passwadmin
Adems seleccionamos las siguientes opciones: Crear usuarios no existentes Eliminar del LDAP los certificados al revocar
8
En el campo LDAP location fields from cert DN, seleccionar CN, Nombre Comn. ste campo permite seleccionar el identificador por medio del cual se realizarn las bsquedas del sistema.
Finalmente presionamos el botn guardar.
CREACIN DEL PERFIL DE CERTIFICADO PARA LA CASUB

La creacin del perfil de certificado para la Autoridad de Certificacin Subordinada empleando la plantilla SubCA se realiza de la siguiente manera. En el men lateral izquierdo elegir la opcin Editar Perfiles de Certificacin. Dentro de la interfaz mostrada en el campo Agregar perfiles ingresamos el nombre del perfil a crear y presionamos la plantilla SubCA. Una vez creado el perfil presionamos para editar el mismo y se mostrar la siguiente interfaz:
9
En la interfaz mostrada anteriormente configurar lo siguiete: Type: Sub CA Avalable bit lengths: 2048, 4096 bits Signature Algorithm: Inherit from issuing CA Validity or end date of the certificate: 15y Dentro de las Opciones Key Usage seleccionar: Digital signature Key certificate sign CRL sign
Dentro de la opcin Avalable CAs seleccionar Any CA. En la opcin Approval Settings seleccionar Add/Edit End Entity Number of Required Approvals: Indicar el nmero de niveles de aprovacin de los certificados.
10
CREACIN DE SUBORDINADA
LA
AUTORIDAD
DE
CERTIFICACIN
El certificado de esta entidad ser firmado por la CA Externa Raiz de Fuerzas Armadas para lo cual primero ingresamos a la Interfaz pblica de la CA Raiz y seleccionamos dentro del men lateral izquierdo la opcin Fetch CA & OCSP certificates y se mostrar la siguiente ventana:
A continuacin descargamos el archivo chain.pem de la CA: CARaizFuerzas Armadas y lo guardamos en la PC tal como se muestra en la siguiente figura:
11
Luego de haber guardado el archivo chain.pem, ingresamos a la interfaz de administracin y procedemos a crear una CA, mediante la opcin Editar Autoridades de Certificacin del men lateral izquierdo y se mostrar la interfaz que se muestra en la figura:
En la interfaz mostrada anteriormente configurar lo siguiente: Type of CA: x509 CA Token Type: Soft Signing Algorithm: SHA512WithRSA RSA key size: 4096 DSA key size: 1024 Description: Descripcin breve de la CASub creada
12
Seleccionar la opcin Use de CRL Distribution Point y Authority Information Access.
Especificamos los siguientes parmetros: Validity certificate: 15y Subject DN: cn=CASubordinada FAE, ou=autoridades Signed By: External CA Seleccionamos el Publishers LDAP creado anteriormente LDAPFAE.
13
Dentro de las opciones Other data seleccionamos las opciones de aprovacin. Approval Settings: Add/Edit End Entity Nmero of Required Approvals: Nmero de aprovacin requeridas para emisin del certificado.
Finalmente presionamos el botn Make Certificate Request y se mostrara una ventana en la cual especificamos el archivo chain.pem y presionamos el botn abrir.
14
A continuacin presionamos el botn Make Certificate Request visualizar la siguiente pantalla:
con lo cual se
Una vez realizado esto copiamos el request o nos descargamos el archivo seleccionando la opcin Download Pem File y la almacenamos en la PC.
15
A continuacin ingresamos a la interfaz administracin de la autoridad de certificacin Raiz y nos autenticamos empleando el certificado del administrador de la CA Raiz, tal como se muestra en la siguiente imagen.
Cargado el certificado anterior ingresaremos a la interfaz de administracin de la entidad raz en la cual seleccionamos la opcin Edit Certificate Authorities y en el campo agregar entidad especificamos el mismo nombre de la CA subordinada que la creamos anteriormente, tal como se muestra en la siguiente imagen:
A continuacin presionamos el botn Proceso de Requerimiento de Certificado con lo cual se visualizar la siguiente pantalla:
16
Presionamos el botn Browse y seleccionamos el archivo certificaterequest.pem descargado anteriormente
Finalmente presionamos el botn Proceso de Requerimiento de Certificados con lo cual se visualizar la siguiente pantalla:
17
Ingresamos la descripcin y especificamos el periodo de validez de la CA Subordinada en este caso 15 aos.
Finalmente presionamos el botn Proceso de Requerimiento de Certificado visualizndose la siguiente interfaz:
Descargamos el archivo .pem y lo almacenamos en la PC tal como se muestra a continuacin:
18
Ingresamos a la interfaz de admnistracin de la CA Subordinada y selecionamos la CA Subordinada creada anteriormente y presionamos el botn Editar CA visualizndose la siguiente pantalla:
Presionamos el botn Receive Certificate Response y a continuacin se visualizar la siguiente interfaz:
19
Luego cargamos el Archivo cert.pem y presionamos el botn Receive Certificate Response con lo cual si todo sali correctamente se mostrar la siguiente Pantalla:
Como se puede apreciar la autoridad de certificacin subordinada se ha creado satisfactoriamente y se encuentra activa. A continuacin procedemos a editar la CA Subordinada y a la Direccin del Servidor en el cual se publicaran las CRLS y presionamos el botn Generate.
A continuacin especificamos la direccin del servidor OCSP, y presionamos el botn Generate.
20
Finalmente guardamos los cambios realizados con lo cual tenemos creada la AC Subordinada firmada por la autoridad de certificacin de Fuerza Armadas.
CREACIN DEL PERFIL DE CERTIFICADO PERFIL SERVIDORES

Ingresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la opcin Edit Certificate Profiles y procedemos a crear el perfil del certificado PerfilServidores utilizando la plantilla Server, como se muestra a continuacin:
Una vez creado el PerfilServidores procedemos a seleccionarlo y editarlo presionando el botn Edit Certificate Profile, mostrndose la sigueinte pantalla.
21
En la interfaz mostrada anteriormente especificamos los siguientes parmetros: Type: End Entity Avalable bit lengths: 1536, 2048bits Signature Algorithm: SHA512WithRSA Validity or end date of the certificate: 15y
Dentro de las Opciones Key Usage seleccionar: Digital signature Key enciphermet Adems dentro de las opciones de Extended Key Usage seleccionar Server Authentication
22
A continuacin especificamos la CA Subordinada que vamos a utilizar y el Publisher a emplear tal como se muestra en la siguiente imagen:
CREACIN DEL PERFIL DE ENTIDAD FINAL PERFIL SERVIDORES

Ingresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la opcin Edit Certificate End Entity y procedemos a crear el perfil PerfilServidores como se muestra a continuacin A continuacin especificamos los siguientes parmetros: Minimun Password Strenght: 60 Email Domain: dominio.com.ec. Selecionamos las opciones Use y Required. Seleccionamos la opcin Batch Generation
23
Agregamos al Perfil los siguietes atributos: Cn,Comomon Name UID,Unique Identifier OU,Organization Unit O,Organization C,Counttry Los atributos seleccionados se muestran en la siguiente interfaz:
Cabe mencionar que los atributos agregados enteriormente son los datos de la entidad que se mostrarn en el Certificado Digital. A continuacin seleccionamos los siguientes opciones: Perfil de Certificado: PerfilServidores CA disponibles: CA Subordinada Tipos de Token a Generar: User Generate P12, JKS, PEM
24
Finalmente guardamos los cambios realizados presionando el botn Add.
CREACIN DEL CERTIFICADO DEL SERVIDOR DE EJBCA

Ingresamos a la interfaz de Administracin de EJBCA y procedemos a seleccionar la opcin Add Entity visualizndose la siguiente interfaz:
En la interfaz anterior ingresamos los datos de la entidad que se mostrarn en el certificado a crear. Para agregar los datos ingresados presionamos el botn Add. Ingresamos va ssh al servidor y editamos el archivo /opt/ejbca/bin/batchtool.properties agregamos la siguiente lnea: keys.spec=4096 Luego digitamos los siguientes comandos: # cd /opt/ejbca/ # bin/ejbca.sh batch
25
Ejecutados los comandos anteriores en el directorio /opt/ejbca/p12 se crear el archivo ejbca.jks que contiene la clave pblica y privada del servidor ejbca. Creacin de los Roles de Acceso a la Interfaz de Administracin de la Entidad de Certificacin Los Roles que se crear para ingresar a la interfaz de administracin de EJBCA son los siguientes: Administrador PKI: Tendr acceso total a la interfaz de Adminsitracin. Administrador CA: Tendr acceso a las funciones de Adminstracin de la CA. Administrador RA: Tendr acceso a las funciones de Adminstracin de la RA. Operador RA: Tendr acceso unicamente a la opcin de registro de entidades Finales. Para la creacin de los roles detallados anteriormente seguimos el siguiente procedimiento: Ingresamos a la interfaz de administracin de EJBCA y seleccionamos la opcin Editar Privilegios de Administrador. En la interfaz mostrada sleccionamos la opcin Agregar y a continuacin especificamos el Rol a crear tal como se muestra en la siguiente imagen:
Finalmente presionamos el botn OK con el cual rol ingresado se crear satisfactoriamente A continuacin procedemos a crear cada uno de los usuarios que formarn parte de los roles creados anteriormente para lo cual primero procedemos a crear el Perfil de Certificado y de Entidad Final para dichos usuarios tal como se muestra a continuacin: Creacin del Perfil de Certificado Perfil Administrador Ingresamos a la interfaz de administracin de EJBCA y en el men lateral izquierdo
26
seleccionamos la opcin Editar Perfiles de Certificacin y visualizndose la siguiente ventana:
Creamos el perfil Perfil Administradores utilizando como plantilla ENDUSER. A continuacin seleccionamos el perfil creado y presionamos el botn Edit Certificate Profiles mostrndose la siguiente pantalla:
En la interfaz mostrada anteriormente especificamos los siguientes parmetros: Type: End Entity Avalable bit lengths: 1024,1536, 2048bits Signature Algorithm: SHA512WithRSA Validity or end date of the certificate: 10y
A continuacin en la opcin uso de clave debemos seleccionar los usos que se darn al certificado, marcando: Firma Digital
27
No-repudio Cifrado de clave
Adems en la opcin uso de clave extendida seleccionar: Autenticacin de Cliente
En el men CAs disponibles seleccionamos Autoridad de Certificacin Subordinada y el Publicador configurado anteriormente.
Finalmente guardamos los cambios realizados presionando el botn Grabar.
CREACIN DEL PERFIL DE CERTIFICADO PERFIL OPERADOR

Ingresamos a la interfaz de administracin de EJBCA y en el men lateral izquierdo seleccionamos la opcin Editar Perfiles de Certificacin y visualizndose la siguiente ventana:
28
Creamos el perfil Perfil Administradores utilizando como plantilla ENDUSER. A continuacin seleccionamos el perfil creado y presionamos el botn Edit Certificate Profiles mostrndose la siguiente pantalla:
En la interfaz mostrada anteriormente especificamos los siguientes parmetros: Type: End Entity Avalable bit lengths: 1024,1536 bits Signature Algorithm: SHA256WithRSA Validity or end date of the certificate: 10y A continuacin en la opcin uso de clave debemos seleccionar los usos que se darn al certificado, marcando: Firma Digital No-repudio Cifrado de clave Adems en la opcin uso de clave extendida seleccionar: Autenticacin de Cliente y Email Protection.
29
En el men CAs disponibles seleccionamos Autoridad de Certificacin Subordinada y el Publicador configurado anteriormente.
Finalmente guardamos los cambios realizados presionando el botn Grabar. Creacin del Perfil de Entidad Final Perfil Administradores Ingresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la opcin Edit Certificate End Entity y procedemos a crear el perfil PerfilAdminsitradores. A continuacin seleccionamos el perfil creado y presionamos el botn Edit Certificate Profiles mostrndose la siguiente pantalla:
30
En la interfaz anterior especificamos los siguientes parmetros: Minimun Password Strenght: 60 Email Domain: dominio.com.ec. Selecionamos las opciones Use y Required.
Agregamos al Perfil los siguietes atributos: Cn,Comomon Name UID,Unique Identifier OU,Organization Unit O,Organization C,Counttry Los atributos seleccionados se muestran en la siguiente interfaz:
Cabe mencionar que los atributos agregados enteriormente son los datos de la entidad que se mostrarn en el Certificado Digital. A continuacin seleccionamos los siguientes opciones:
31
Perfil de Certificado: PerfilAdministradores CA disponibles: CA Subordinada Tipos de Token a Generar: User Generate P12, JKS, PEM
Finalmente guardamos los cambios realizados presionando el botn Add.
CREACIN DEL PERFIL DE ENTIDAD FINAL PARA EL OPERADOR

Ingresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la opcin Edit Certificate End Entity y procedemos a crear el perfil PerfilAdminsitradores. . A continuacin seleccionamos el perfil creado y presionamos el botn Edit Certificate Profiles mostrndose la siguiente pantalla:
En la interfaz anterior especificamos los siguientes parmetros: Minimun Password Strenght: 60 Email Domain: dominio.com.ec. Selecionamos las opciones Use y Required.
Agregamos al Perfil los siguietes atributos:
32
Cn,Comomon Name UID,Unique Identifier OU,Organization Unit O,Organization C,Counttry
Los atributos seleccionados se muestran en la siguiente interfaz:
Cabe mencionar que los atributos agregados enteriormente son los datos de la entidad que se mostrarn en el Certificado Digital. A continuacin seleccionamos los siguientes opciones: Perfil de Certificado: PerfilOperadores CA disponibles: CA Subordinada Tipos de Token a Generar: User Generate P12, JKS, PEM
33
CREACIN DEL CERTIFICADO DEL ADMINISTRADOR DE LA PKI

En la interfaz anterior seleccionamos el perfil de certificado creado anterioremente asi como el el perfil de entidad esto es Perfil Administradores. A continucin ingresamos los datos de la entidad que se mostrarn en el certificado a crear. Para agregar los datos ingresados presionamos el botn Add. A continuacin Ingresamos a la Interfaz pblica y selecionamos la opcin Generate KeyStore visualizndose la siguiente interfaz:
A continuacin ingresamos el usuario y el password especificados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizar la siguiente interfaz:
34
En la Interfaz anterior seleccionamos el tamao de la llave 1024 o 1536 bits y finalmente presionamos el boton OK con lo cual se proceder a emitir el Keystore.
CREACIN DEL CERTIFICADO DE ADMINISTRADOR DE LA CA

En la interfaz anterior seleccionamos el perfilde certificado creado anterioremente asi como el el perfil de entidad esto es Perfifil Administradores. A continucin ingresamos los datos de la entidad que se mostrarn en el certificado a crear. Para agregar los datos ingresados presionamos el botn Add. A continuacin ingresamos a la Interfaz pblica y selecionamos la opcon Generate KeyStore visualizndose la siguiente pantalla:
35
En la Interfaz anterior seleccionamos el tamo de la llave 1024 o 1536 bits y finalmente presionamos el botn OK con lo cual se proceder a emitir el Keystore tal como se muestra a continuacin:
36
CREACIN DEL CERTIFICADO DE ADMINISTRADOR DE LA RA

En la interfaz anterior seleccionamos el perfilde certificado creado anterioremente asi como el el perfil de entidad esto es Perfifil Administradores. A continucin ingresamos los datos de la entidad que se mostrarn en el certificado a crear. Para agregar los datos ingresados presionamos el botn Add. A continuacin Ingresamos a la Interfaz pblica y selecionamos la opcion Generate KeyStore visualizndose la siguiente pantalla:
37
En la interfaz anterior seleccionamos el tamo de la llave 1024 o 1536 bits y finalmente presionamos el botn OK con lo cual se proceder a emitir el Keystore tal como se muestra a continuacin:
38
CREACIN DEL CERTIFICADO DEL OPERADOR DE LA RA

En la interfaz anterior seleccionamos el perfil de certificado creado anterioremente asi como el el perfil de entidad esto es Perfil Administradores. A continucin ingresamos los datos de la entidad que se mostrarn en el certificado a crear. Para agregar los datos ingresados presionamos el botn Add. A continuacin ingresamos a la Interfaz pblica y selecionamos la opcion Generate KeyStore visualizndose la siguiente pantalla:
39
En la Interfaz anterior seleccionamos el tamo de la llave 1024 o 1536 bits y finalmente presionamos el boton OK con lo cual se proceder a emitir el Keystore tal como se muestra a continuacin:
ASIGNACIN DE ADMINISTRACIN.
Administrador de la CA
LOS
USUARIOS
LOS
ROLES
DE
Agregamos el usuario administrador CA en base al nmero serial del certificado para lo cual previamente seleccionamos el Rol Administrador de la CA tal como se muestra a continuacin:
A continuacin asignamos los permisos para el rol Administrador de la CA tal como se muestra a continuacin:
40
Administrador de la RA Agregamos el usuario administradorca en base al numero serial del certificado para lo cual previamente seleccionamos el Rol Administrador de la RA tal como se muestra a continuacin:
Al usuario anterior le asignamos permisos de administrador de la RA al como se muestra a continuacin:
41
Operador de la RA Agregamos el usuario operadorra en base al numero serial del certificado para lo cual previamente seleccionamos el Rol Operador de la RA tal como se muestra a continuacin:
42
Al usuario anterior le asignamos permisos de administrador de la RA al como se muestra a continuacin:
RENOVACIN DEL KEYSTORE DEL SERVIDOR

Para realizar la renovacin del Keystore del servidor nos ubicamos en el directorio /opt/ejbca y ejcutamos los siguientes comandos: #bin/ejbca.sh ca getrootcert 'Nombre CA' casubordinada.pem #openssl x509 -in casubordinada.pem -out casubordinada.der -outform DER #keytool -importcert -alias casubordinada -file casubordinada.der -keystore p12/truststore_new.jks
Al digitar el comando anterior se pedir especificar el password para el Nuevo keystore en el cual se debe especificarse el mismo password puesto en el archivo de configuracin web.properties en la opcin java.trustpassword. A continuacin procedemos a detener el servidor Jboss y a ejecutar los siguientes
43
comandos: #cp ejbca.jks /opt/jboss/server/ejbca/conf/keystore/keystore.jks #cp truststore_new.jks /opt/jboss/server/ejbca/conf/keystore/truststore.jks
CREACIN DE LOS PERFILES DE CERTIFICADO PARA LOS USUARIOS FINALES

Ingresamos a la interfaz de la entidad de certificacin subordinada y seleccionamos la opcin Edit Certificate Profiles y procedemos a crear el perfil del certificado PerfilUsuarios utilizando la plantilla EndUser. Una vez creado el perfil procedemos a seleccionarlo y editarlo presionando el botn Edit Certificate Profile, mostrndose la siguiente pantalla.
En la interfaz mostrada anteriormente configurar lo siguiente: Type: End Entity Avalable bit lengths: 1024, 1536, 2048 bits Signature Algorithm: SHA512WithRSA Validity or end date of the certificate: 7y Dentro de las Opciones Key Usage seleccionar: Digital signature Non-Repudiation Key certificate sign Adems dentro de las opciones de Extended Key Usage seleccionar Client Authentication y Email Protection.
44
Seleccionamos el Publishers LDAP creado anteriormente LDAPFAE. Approval Settings: Add/Edit End Entity Nmero of Required Approvals: Nmero de aprovaciones requeridas para emisin del certificado.
Presionamos el botn guardar.

45
CREACIN DEL PERFIL DE USUARIO FINAL

Para la creacin del perfil de Usuario Final seleccionamos del men lateral izquierdo Edit End Entity Profile y procedemos a crear el perfil PerfilUsuarios. Una vez creado el perfil procedemos a seleccionarlo y editarlo presionando el botn Edit End Entity Profile, mostrndose la siguiente pantalla.
Dentro de la ventana mostrada configuramos las opciones que el usuario final deber llenar para la generacin del certificado como las siguientes opciones: Username Password: Required, Podemos establecer adems la combinacion de caracteres utilizada y la longitud del mismo, por defecto 8. E-mail domain: dominio.com.ec Atributos DN: o Subject DN Attributes o CN, Common name o UID, Unique Identifier o OU, Organizational Unit o givenName, Given name(first name) o Surname, Surname (last name) o title, Title o O, Organizational o C, Country
De las opciones anteriores adicionalemente podemos definir si se desea que dichos parmetros sean requeridos y/o modificables.
46
Adicionalemnte verificamos las sigueitnes opciones: Available Certificate Profiles: PerfilUsuarios Default CA: CA Subordinada FAE Default Token: P12 file Available Tokens: USer Generated, P12 file, JKS File, PEM file
Configuracin de Notificaciones Para configurar las respectivas notificaciones en funciones de los diferentes estados activamos la opcin Send Notification y configuramos las opciones que se indican a continuacin: Notificaciones de estado Notification Sender: ejbca@dominio.com.ec NotificationEvents: StatusinProcess Notification Subject: Texto del asunto de la notificacin Notification Message: Texto del mensaje de notificacin
47
Notificacin de Aprobacin de Solicitud Notification Sender: ejbca@dominio.com.ec NotificationEvents: StatusGenerated Notification Subject: Texto del asunto de la notificacin Notification Message: Texto del mensaje de notificacin
Notificacin de Certificado Generado Notification Sender: ejbca@dominio.com.ec NotificationEvents: StatusinProcess Notification Subject: Texto del asunto de la notificacin Notification Message: Texto del mensaje de notificacin
48
CREACIN DEL CERTIFICADO DE USUARIO ADMINISTRADOR

Para la creacin del certificado del usuario Administrador seguimos los siguientes pasos: En la interfaz de Administracin seleccionamos Agregar Entidad Final y se muestra la pantalla que se indica a continuacin, dentro de la cual debemos configurar lo siguiente: Perfil de Entidad Final: PerfilOperador Nombre de Usuario: useradmin Password: Passwordadmin Confirmar Password: Passwordadmin email: useradmin@dominio.com.ec CN, Nombre Comn: Usuario Administrador UID, Id nico: useradmin, este nombre es igual al Nombre de Usuario OU, Unidad Organizacional: Usuarios O, Organizacin: Fuerzas Armadas C, Pas: Ecuador Perfil del Certificado: PerfilOperador CA: CA Subordinada FAE Token: Archivo P12
49
Posteriormente ingresamos a la interfaz pblica de EJBCA ingresando la contrasea asignada y procedemos a generar el keystore con el perfil de operador, definiendo la longitud de la clave.
CREACIN DEL GRUPO OPERADORES

Para la creacin del grupo operadores ingresamos a la interfaz de administracin con el usuario Administrador CA y seleccionamos del men lateral izquierdo Edit Administrator Privileges y presionamos Add, mostrndonos un cuadro de texto para agregar el nuevo grupo.
50
Agregamos el usuario useradmin a este grupo basado en el nmero serial del certificado:
Al usuario anterior le agregamos los siguientes permisos: Role: RA Administrators Authorized CAs: CA Subordinada FAE End Entity Rules: Create End Entities
51
Edit End Entity Profiles: PerfilUsuarios, Perfil Operador Other Rules: View Logs
EMISIN DE CERTIFICADOS PARA LOS USUARIOS FINALES

Para la emisin de certificados para los usuarios finales, primero importamos el Certificado del usuario useradmin al Navegador de la siguiente manera: Dentro de las opciones del Navegador seleccionamos la opcin de encripcin y presionamos el botn ver certificados. Dentro de esta opcin nos permite importar certificados, para ello buscamos el certificado a importar y seleccionamos abrir como se muestra a continuacin:
52
A continuacin ingresamos el respectivo pasprase y presionamos ok.
Con ello el certificado se importar satisfactoriamente al navegador tal como se muestra a continuacin:
53
Posteriormente ingresamos a la interfaz de administracin autenticndonos con el certificado importando anteriormente como se muestra en la figura:
Una vez que nos logueamos correctamente se visualizar la siguiente interfaz:
Para agregar un Entidad Final seleccionamos la opcin Agregar Entidad Final del men lateral izquierdo y se mostrar la ventana que se muestra a continuacin.
Dentro de la ventana mostrada de debern agregar los datos del usuario como se indica a continuacin:
54
Adicionalamente selecccionamos la opcin Enviar Notificacin y presionamos el botn agregar.
Una vez ingresados los datos se visualizar un mensaje indicando que se enviado la solicitud para su aprobacin. En el caso de haber elegido la aprobacin por niveles de la solicitud, en funcin de los mismos se realizar lo siguiente: Ingresamos a la interfaz de administracin logueandonos con el usuario Administrador de la RA, como se muestra a continuacin:
55
En la interfaz visualizada seleccionamos la opcin Apobar Acciones mostrndose la siguiente pantalla:
Seleccionamos la opcin Add End Entity visualizndose la siguiente interfaz:
A continuacin agregamos un comentario y luego presionamos el botn Aprove y luego presionamos el botn OK
56
Con ello la solicitud para la emisin del certificado habra sido aprobada tal como se muestra a continuacin:
Concludo el proceso de Aprovacin ingresamos a la Interfaz pblica y selecionamos la opcin Generate KeyStore como se indica en la siguiente pantalla.
57
En la pantalla mostrada el usuario deber ingresar el usuario y el password ingresados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizar la siguiente interfaz:
En la Interfaz anterior seleccionamos el tamo de la llave 1024 o 1536 bits y finalmente presionamos el boton OK con lo cual se proceder a emitir el Keystore del usuario tal como se muestra a continuacin:
58
Este keystore se almacenar en el directorio de Descargas configurado en la PC del usuario y el mismo es el que se emplear para firmar y cifrar el correo. Dicho archivo ser entregado al usuario en un dispositivo de almacenamiento externo, luego de lo cual el archivo generado en el equipo del Administrador deber ser borrado por completo.
59

Manual EJBCAv2

Transféré par

Informations du document

Description originale:

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manual EJBCAv2

Transféré par

Droits d'auteur :

Formats disponibles

PROYECTO:

IMPLEMENTACIN PKI FUERZAS ARMADAS

CREACIN DEL USUARIO ADMINISTRADOR DE LA CA RAIZ

En la opcin uso de clave extendida seleccionar: Autenticacin de Cliente

Ingresamos a la opcin Editar privilegios de Administrador y creamos el Grupo Administrador de la PKI.

A continuacin ingresamos a la opcin Editar Reglas de Acceso y le damos permiso de superadministrador.

PROCESO PARA LA CREACIN DE LA CASUBORDINADA

Posteriormente seleccionamos el certificado de dicho usuario visualizndose la interfaz de administracin:

CREACIN DEL PUBLISHER

Finalmente presionamos el botn guardar.

CREACIN DEL PERFIL DE CERTIFICADO PARA LA CASUB

Finalmente presionamos el botn guardar.

Seleccionar la opcin Use de CRL Distribution Point y Authority Information Access.

A continuacin presionamos el botn Make Certificate Request visualizar la siguiente pantalla:

Presionamos el botn Browse y seleccionamos el archivo certificaterequest.pem descargado anteriormente

Ingresamos la descripcin y especificamos el periodo de validez de la CA Subordinada en este caso 15 aos.

Finalmente presionamos el botn Proceso de Requerimiento de Certificado visualizndose la siguiente interfaz:

Descargamos el archivo .pem y lo almacenamos en la PC tal como se muestra a continuacin:

Presionamos el botn Receive Certificate Response y a continuacin se visualizar la siguiente interfaz:

A continuacin especificamos la direccin del servidor OCSP, y presionamos el botn Generate.

CREACIN DEL PERFIL DE CERTIFICADO PERFIL SERVIDORES

Seleccionar la opcin Use de CRL Distribution Point y Authority Information Access.

CREACIN DEL PERFIL DE ENTIDAD FINAL PERFIL SERVIDORES

Finalmente guardamos los cambios realizados presionando el botn Add.

CREACIN DEL CERTIFICADO DEL SERVIDOR DE EJBCA

seleccionamos la opcin Editar Perfiles de Certificacin y visualizndose la siguiente ventana:

No-repudio Cifrado de clave

Adems en la opcin uso de clave extendida seleccionar: Autenticacin de Cliente

Finalmente guardamos los cambios realizados presionando el botn Grabar.

CREACIN DEL PERFIL DE CERTIFICADO PERFIL OPERADOR

Finalmente guardamos los cambios realizados presionando el botn Add.

CREACIN DEL PERFIL DE ENTIDAD FINAL PARA EL OPERADOR

Agregamos al Perfil los siguietes atributos:

Cn,Comomon Name UID,Unique Identifier OU,Organization Unit O,Organization C,Counttry

Los atributos seleccionados se muestran en la siguiente interfaz:

CREACIN DEL CERTIFICADO DEL ADMINISTRADOR DE LA PKI

CREACIN DEL CERTIFICADO DE ADMINISTRADOR DE LA CA

CREACIN DEL CERTIFICADO DE ADMINISTRADOR DE LA RA

CREACIN DEL CERTIFICADO DEL OPERADOR DE LA RA

Al usuario anterior le asignamos permisos de administrador de la RA al como se muestra a continuacin:

Al usuario anterior le asignamos permisos de administrador de la RA al como se muestra a continuacin:

RENOVACIN DEL KEYSTORE DEL SERVIDOR

comandos: #cp ejbca.jks /opt/jboss/server/ejbca/conf/keystore/keystore.jks #cp truststore_new.jks /opt/jboss/server/ejbca/conf/keystore/truststore.jks

CREACIN DE LOS PERFILES DE CERTIFICADO PARA LOS USUARIOS FINALES

Seleccionar la opcin Use de CRL Distribution Point y Authority Information Access.

Presionamos el botn guardar.

CREACIN DEL PERFIL DE USUARIO FINAL

Finalmente presionamos el botn guardar.

CREACIN DEL CERTIFICADO DE USUARIO ADMINISTRADOR

CREACIN DEL GRUPO OPERADORES

Finalmente presionamos el botn guardar.

EMISIN DE CERTIFICADOS PARA LOS USUARIOS FINALES

A continuacin ingresamos el respectivo pasprase y presionamos ok.

Una vez que nos logueamos correctamente se visualizar la siguiente interfaz:

Adicionalamente selecccionamos la opcin Enviar Notificacin y presionamos el botn agregar.

En la interfaz visualizada seleccionamos la opcin Apobar Acciones mostrndose la siguiente pantalla:

Seleccionamos la opcin Add End Entity visualizndose la siguiente interfaz:

Vous aimerez peut-être aussi