Académique Documents
Professionnel Documents
Culture Documents
IMPLEMENTACIN DE UNA SOLUCIN DE CORREO ELECTRNICO MILITAR PARA LAS FUERZAS ARMADAS
1
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Contenido
IMPLEMENTACIN PKI FUERZAS ARMADAS ....................................................... 1 CREACION DEL USUARIO ADMINISTRADOR DE LA CA RAIZ ....................... 3 PROCESO PARA LA CREACIN DE LA CASUBORDINADA ............................. 6 CREACIN DEL PUBLISHER .................................................................................. 7 CREACIN DEL PERFIL DE CERTIFICADO PARA LA CASUB .......................... 9 CREACIN DE LA AUTORIDAD DE CERTIFICACIN SUBORDINADA ........11 CREACIN DEL PERFIL DE CERTIFICADO PERFIL SERVIDORES ................ 21 CREACIN DEL PERFIL DE ENTIDAD FINAL PERFIL SERVIDORES ............ 23 CREACIN DEL CERTIFICADO DEL SERVIDOR DE EJBCA ........................... 25 Creacin de los Roles de Acceso a la Interfaz de Administracin de la Entidad de Certificacin ........................................................................................................... 26 Creacin del Perfil de Certificado Perfil Administrador ........................................ 26 CREACIN DEL PERFIL DE CERTIFICADO PERFIL OPERADOR .................. 28 CREACIN DEL PERFIL DE ENTIDAD FINAL PARA EL OPERADOR ............ 32 CREACION DEL CERTIFICADO DEL ADMINISTRADOR DE LA PKI ............. 34 CREACIN DEL CERTIFICADO DE ADMINISTRADOR DE LA CA ................ 35 CREACIN DEL CERTIFICADO DE ADMINISTRADOR DE LA RA ................ 37 ASIGNACIN DE LOS USUARIOS A LOS ROLES DE ADMINISTRACIN. ... 40 Administrador de la CA .......................................................................................... 40 Administrador de la RA .......................................................................................... 41 Operador de la RA ................................................................................................. 42 RENOVACION DEL KEYSTORE DEL SERVIDOR .............................................. 43 CREACIN DE LOS PERFILES DE CERTIFICADO PARA LOS USUARIOS FINALES .................................................................................................................... 44 CREACIN DEL PERFIL DE USUARIO FINAL ................................................... 46 Configuracin de Notificaciones ............................................................................ 47 CREACIN DEL CERTIFICADO DE USUARIO ADMINISTRADOR ................ 49 CREACIN DEL GRUPO OPERADORES ............................................................. 50 EMISIN DE CERTIFICADOS PARA LOS USUARIOS FINALES ...................... 52
2
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Para crear el perfil del certificado en la opcin uso de clave debemos seleccionar los usos que se darn al certificado, marcando: Firma Digital No-repudio Cifrado de clave
En el men CAs disponibles seleccionamos CARaizFuerzasArmadas. En el men Publicadores seleccionamos la opcin LDAPFUERZASARMADAS
3
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Posteriormente creamos el Perfil de Entidad Final para Administrador y creamos la Entidad Final
4
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Luego agregamos al grupo el usuario creado superadministradorraiz en base al Nmero Serial del Certificado y como CA la CARaizFuerzasArmadas.
5
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Finalmente procedemos a Borrar el grupo de Administrador, los usuarios temporales creados en el momento de la instalacin de EJBCA y la CA Raiz Temporal.
6
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En la interfaz mostrada anteriormente en el campo Agregar escribimos el nombre del publicador a crear y presionamos el botn Agregar, mostrndose la siguiente interfaz.
7
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
El la interfaz mostrada especificamos los siguientes parmetros: Tipo de Publicador: LDAP V3 Publisher Hostames: Direccin_IP_servidor_LDAP Puerto de Conexin: 389 o 636 (SSL) Base DN: dc=dominio, dc=com, dc=ec Ejemplo: Base DN: dc=fae, dc=mil, dc=ec Login DN: cn=admin,dc=dominio,dc=com,dc=ec Login Password: passwadmin Confirm Password: passwadmin
Adems seleccionamos las siguientes opciones: Crear usuarios no existentes Eliminar del LDAP los certificados al revocar
8
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En el campo LDAP location fields from cert DN, seleccionar CN, Nombre Comn. ste campo permite seleccionar el identificador por medio del cual se realizarn las bsquedas del sistema.
9
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En la interfaz mostrada anteriormente configurar lo siguiete: Type: Sub CA Avalable bit lengths: 2048, 4096 bits Signature Algorithm: Inherit from issuing CA Validity or end date of the certificate: 15y Dentro de las Opciones Key Usage seleccionar: Digital signature Key certificate sign CRL sign
Dentro de la opcin Avalable CAs seleccionar Any CA. En la opcin Approval Settings seleccionar Add/Edit End Entity Number of Required Approvals: Indicar el nmero de niveles de aprovacin de los certificados.
10
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
CREACIN DE SUBORDINADA
LA
AUTORIDAD
DE
CERTIFICACIN
El certificado de esta entidad ser firmado por la CA Externa Raiz de Fuerzas Armadas para lo cual primero ingresamos a la Interfaz pblica de la CA Raiz y seleccionamos dentro del men lateral izquierdo la opcin Fetch CA & OCSP certificates y se mostrar la siguiente ventana:
A continuacin descargamos el archivo chain.pem de la CA: CARaizFuerzas Armadas y lo guardamos en la PC tal como se muestra en la siguiente figura:
11
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Luego de haber guardado el archivo chain.pem, ingresamos a la interfaz de administracin y procedemos a crear una CA, mediante la opcin Editar Autoridades de Certificacin del men lateral izquierdo y se mostrar la interfaz que se muestra en la figura:
En la interfaz mostrada anteriormente configurar lo siguiente: Type of CA: x509 CA Token Type: Soft Signing Algorithm: SHA512WithRSA RSA key size: 4096 DSA key size: 1024 Description: Descripcin breve de la CASub creada
12
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Especificamos los siguientes parmetros: Validity certificate: 15y Subject DN: cn=CASubordinada FAE, ou=autoridades Signed By: External CA Seleccionamos el Publishers LDAP creado anteriormente LDAPFAE.
13
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Dentro de las opciones Other data seleccionamos las opciones de aprovacin. Approval Settings: Add/Edit End Entity Nmero of Required Approvals: Nmero de aprovacin requeridas para emisin del certificado.
Finalmente presionamos el botn Make Certificate Request y se mostrara una ventana en la cual especificamos el archivo chain.pem y presionamos el botn abrir.
14
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
con lo cual se
Una vez realizado esto copiamos el request o nos descargamos el archivo seleccionando la opcin Download Pem File y la almacenamos en la PC.
15
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
A continuacin ingresamos a la interfaz administracin de la autoridad de certificacin Raiz y nos autenticamos empleando el certificado del administrador de la CA Raiz, tal como se muestra en la siguiente imagen.
Cargado el certificado anterior ingresaremos a la interfaz de administracin de la entidad raz en la cual seleccionamos la opcin Edit Certificate Authorities y en el campo agregar entidad especificamos el mismo nombre de la CA subordinada que la creamos anteriormente, tal como se muestra en la siguiente imagen:
A continuacin presionamos el botn Proceso de Requerimiento de Certificado con lo cual se visualizar la siguiente pantalla:
16
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Finalmente presionamos el botn Proceso de Requerimiento de Certificados con lo cual se visualizar la siguiente pantalla:
17
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
18
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Ingresamos a la interfaz de admnistracin de la CA Subordinada y selecionamos la CA Subordinada creada anteriormente y presionamos el botn Editar CA visualizndose la siguiente pantalla:
19
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Luego cargamos el Archivo cert.pem y presionamos el botn Receive Certificate Response con lo cual si todo sali correctamente se mostrar la siguiente Pantalla:
Como se puede apreciar la autoridad de certificacin subordinada se ha creado satisfactoriamente y se encuentra activa. A continuacin procedemos a editar la CA Subordinada y a la Direccin del Servidor en el cual se publicaran las CRLS y presionamos el botn Generate.
20
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Finalmente guardamos los cambios realizados con lo cual tenemos creada la AC Subordinada firmada por la autoridad de certificacin de Fuerza Armadas.
Una vez creado el PerfilServidores procedemos a seleccionarlo y editarlo presionando el botn Edit Certificate Profile, mostrndose la sigueinte pantalla.
21
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En la interfaz mostrada anteriormente especificamos los siguientes parmetros: Type: End Entity Avalable bit lengths: 1536, 2048bits Signature Algorithm: SHA512WithRSA Validity or end date of the certificate: 15y
Dentro de las Opciones Key Usage seleccionar: Digital signature Key enciphermet Adems dentro de las opciones de Extended Key Usage seleccionar Server Authentication
22
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
A continuacin especificamos la CA Subordinada que vamos a utilizar y el Publisher a emplear tal como se muestra en la siguiente imagen:
23
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Agregamos al Perfil los siguietes atributos: Cn,Comomon Name UID,Unique Identifier OU,Organization Unit O,Organization C,Counttry Los atributos seleccionados se muestran en la siguiente interfaz:
Cabe mencionar que los atributos agregados enteriormente son los datos de la entidad que se mostrarn en el Certificado Digital. A continuacin seleccionamos los siguientes opciones: Perfil de Certificado: PerfilServidores CA disponibles: CA Subordinada Tipos de Token a Generar: User Generate P12, JKS, PEM
24
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En la interfaz anterior ingresamos los datos de la entidad que se mostrarn en el certificado a crear. Para agregar los datos ingresados presionamos el botn Add. Ingresamos va ssh al servidor y editamos el archivo /opt/ejbca/bin/batchtool.properties agregamos la siguiente lnea: keys.spec=4096 Luego digitamos los siguientes comandos: # cd /opt/ejbca/ # bin/ejbca.sh batch
25
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Ejecutados los comandos anteriores en el directorio /opt/ejbca/p12 se crear el archivo ejbca.jks que contiene la clave pblica y privada del servidor ejbca. Creacin de los Roles de Acceso a la Interfaz de Administracin de la Entidad de Certificacin Los Roles que se crear para ingresar a la interfaz de administracin de EJBCA son los siguientes: Administrador PKI: Tendr acceso total a la interfaz de Adminsitracin. Administrador CA: Tendr acceso a las funciones de Adminstracin de la CA. Administrador RA: Tendr acceso a las funciones de Adminstracin de la RA. Operador RA: Tendr acceso unicamente a la opcin de registro de entidades Finales. Para la creacin de los roles detallados anteriormente seguimos el siguiente procedimiento: Ingresamos a la interfaz de administracin de EJBCA y seleccionamos la opcin Editar Privilegios de Administrador. En la interfaz mostrada sleccionamos la opcin Agregar y a continuacin especificamos el Rol a crear tal como se muestra en la siguiente imagen:
Finalmente presionamos el botn OK con el cual rol ingresado se crear satisfactoriamente A continuacin procedemos a crear cada uno de los usuarios que formarn parte de los roles creados anteriormente para lo cual primero procedemos a crear el Perfil de Certificado y de Entidad Final para dichos usuarios tal como se muestra a continuacin: Creacin del Perfil de Certificado Perfil Administrador Ingresamos a la interfaz de administracin de EJBCA y en el men lateral izquierdo
26
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Creamos el perfil Perfil Administradores utilizando como plantilla ENDUSER. A continuacin seleccionamos el perfil creado y presionamos el botn Edit Certificate Profiles mostrndose la siguiente pantalla:
En la interfaz mostrada anteriormente especificamos los siguientes parmetros: Type: End Entity Avalable bit lengths: 1024,1536, 2048bits Signature Algorithm: SHA512WithRSA Validity or end date of the certificate: 10y
A continuacin en la opcin uso de clave debemos seleccionar los usos que se darn al certificado, marcando: Firma Digital
27
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En el men CAs disponibles seleccionamos Autoridad de Certificacin Subordinada y el Publicador configurado anteriormente.
28
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Creamos el perfil Perfil Administradores utilizando como plantilla ENDUSER. A continuacin seleccionamos el perfil creado y presionamos el botn Edit Certificate Profiles mostrndose la siguiente pantalla:
En la interfaz mostrada anteriormente especificamos los siguientes parmetros: Type: End Entity Avalable bit lengths: 1024,1536 bits Signature Algorithm: SHA256WithRSA Validity or end date of the certificate: 10y A continuacin en la opcin uso de clave debemos seleccionar los usos que se darn al certificado, marcando: Firma Digital No-repudio Cifrado de clave Adems en la opcin uso de clave extendida seleccionar: Autenticacin de Cliente y Email Protection.
29
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En el men CAs disponibles seleccionamos Autoridad de Certificacin Subordinada y el Publicador configurado anteriormente.
Finalmente guardamos los cambios realizados presionando el botn Grabar. Creacin del Perfil de Entidad Final Perfil Administradores Ingresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la opcin Edit Certificate End Entity y procedemos a crear el perfil PerfilAdminsitradores. A continuacin seleccionamos el perfil creado y presionamos el botn Edit Certificate Profiles mostrndose la siguiente pantalla:
30
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En la interfaz anterior especificamos los siguientes parmetros: Minimun Password Strenght: 60 Email Domain: dominio.com.ec. Selecionamos las opciones Use y Required.
Agregamos al Perfil los siguietes atributos: Cn,Comomon Name UID,Unique Identifier OU,Organization Unit O,Organization C,Counttry Los atributos seleccionados se muestran en la siguiente interfaz:
Cabe mencionar que los atributos agregados enteriormente son los datos de la entidad que se mostrarn en el Certificado Digital. A continuacin seleccionamos los siguientes opciones:
31
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Perfil de Certificado: PerfilAdministradores CA disponibles: CA Subordinada Tipos de Token a Generar: User Generate P12, JKS, PEM
En la interfaz anterior especificamos los siguientes parmetros: Minimun Password Strenght: 60 Email Domain: dominio.com.ec. Selecionamos las opciones Use y Required.
32
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Cabe mencionar que los atributos agregados enteriormente son los datos de la entidad que se mostrarn en el Certificado Digital. A continuacin seleccionamos los siguientes opciones: Perfil de Certificado: PerfilOperadores CA disponibles: CA Subordinada Tipos de Token a Generar: User Generate P12, JKS, PEM
33
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En la interfaz anterior seleccionamos el perfil de certificado creado anterioremente asi como el el perfil de entidad esto es Perfil Administradores. A continucin ingresamos los datos de la entidad que se mostrarn en el certificado a crear. Para agregar los datos ingresados presionamos el botn Add. A continuacin Ingresamos a la Interfaz pblica y selecionamos la opcin Generate KeyStore visualizndose la siguiente interfaz:
A continuacin ingresamos el usuario y el password especificados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizar la siguiente interfaz:
34
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En la Interfaz anterior seleccionamos el tamao de la llave 1024 o 1536 bits y finalmente presionamos el boton OK con lo cual se proceder a emitir el Keystore.
En la interfaz anterior seleccionamos el perfilde certificado creado anterioremente asi como el el perfil de entidad esto es Perfifil Administradores. A continucin ingresamos los datos de la entidad que se mostrarn en el certificado a crear. Para agregar los datos ingresados presionamos el botn Add. A continuacin ingresamos a la Interfaz pblica y selecionamos la opcon Generate KeyStore visualizndose la siguiente pantalla:
35
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
A continuacin ingresamos el usuario y el password especificados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizar la siguiente interfaz:
En la Interfaz anterior seleccionamos el tamo de la llave 1024 o 1536 bits y finalmente presionamos el botn OK con lo cual se proceder a emitir el Keystore tal como se muestra a continuacin:
36
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En la interfaz anterior seleccionamos el perfilde certificado creado anterioremente asi como el el perfil de entidad esto es Perfifil Administradores. A continucin ingresamos los datos de la entidad que se mostrarn en el certificado a crear. Para agregar los datos ingresados presionamos el botn Add. A continuacin Ingresamos a la Interfaz pblica y selecionamos la opcion Generate KeyStore visualizndose la siguiente pantalla:
A continuacin ingresamos el usuario y el password especificados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizar la siguiente interfaz:
37
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En la interfaz anterior seleccionamos el tamo de la llave 1024 o 1536 bits y finalmente presionamos el botn OK con lo cual se proceder a emitir el Keystore tal como se muestra a continuacin:
38
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En la interfaz anterior seleccionamos el perfil de certificado creado anterioremente asi como el el perfil de entidad esto es Perfil Administradores. A continucin ingresamos los datos de la entidad que se mostrarn en el certificado a crear. Para agregar los datos ingresados presionamos el botn Add. A continuacin ingresamos a la Interfaz pblica y selecionamos la opcion Generate KeyStore visualizndose la siguiente pantalla:
A continuacin ingresamos el usuario y el password especificados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizar la siguiente interfaz:
39
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En la Interfaz anterior seleccionamos el tamo de la llave 1024 o 1536 bits y finalmente presionamos el boton OK con lo cual se proceder a emitir el Keystore tal como se muestra a continuacin:
ASIGNACIN DE ADMINISTRACIN.
Administrador de la CA
LOS
USUARIOS
LOS
ROLES
DE
Agregamos el usuario administrador CA en base al nmero serial del certificado para lo cual previamente seleccionamos el Rol Administrador de la CA tal como se muestra a continuacin:
A continuacin asignamos los permisos para el rol Administrador de la CA tal como se muestra a continuacin:
40
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Administrador de la RA Agregamos el usuario administradorca en base al numero serial del certificado para lo cual previamente seleccionamos el Rol Administrador de la RA tal como se muestra a continuacin:
41
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Operador de la RA Agregamos el usuario operadorra en base al numero serial del certificado para lo cual previamente seleccionamos el Rol Operador de la RA tal como se muestra a continuacin:
42
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Al digitar el comando anterior se pedir especificar el password para el Nuevo keystore en el cual se debe especificarse el mismo password puesto en el archivo de configuracin web.properties en la opcin java.trustpassword. A continuacin procedemos a detener el servidor Jboss y a ejecutar los siguientes
43
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En la interfaz mostrada anteriormente configurar lo siguiente: Type: End Entity Avalable bit lengths: 1024, 1536, 2048 bits Signature Algorithm: SHA512WithRSA Validity or end date of the certificate: 7y Dentro de las Opciones Key Usage seleccionar: Digital signature Non-Repudiation Key certificate sign Adems dentro de las opciones de Extended Key Usage seleccionar Client Authentication y Email Protection.
44
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Seleccionamos el Publishers LDAP creado anteriormente LDAPFAE. Approval Settings: Add/Edit End Entity Nmero of Required Approvals: Nmero de aprovaciones requeridas para emisin del certificado.
Dentro de la ventana mostrada configuramos las opciones que el usuario final deber llenar para la generacin del certificado como las siguientes opciones: Username Password: Required, Podemos establecer adems la combinacion de caracteres utilizada y la longitud del mismo, por defecto 8. E-mail domain: dominio.com.ec Atributos DN: o Subject DN Attributes o CN, Common name o UID, Unique Identifier o OU, Organizational Unit o givenName, Given name(first name) o Surname, Surname (last name) o title, Title o O, Organizational o C, Country
De las opciones anteriores adicionalemente podemos definir si se desea que dichos parmetros sean requeridos y/o modificables.
46
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Adicionalemnte verificamos las sigueitnes opciones: Available Certificate Profiles: PerfilUsuarios Default CA: CA Subordinada FAE Default Token: P12 file Available Tokens: USer Generated, P12 file, JKS File, PEM file
Configuracin de Notificaciones Para configurar las respectivas notificaciones en funciones de los diferentes estados activamos la opcin Send Notification y configuramos las opciones que se indican a continuacin: Notificaciones de estado Notification Sender: ejbca@dominio.com.ec NotificationEvents: StatusinProcess Notification Subject: Texto del asunto de la notificacin Notification Message: Texto del mensaje de notificacin
47
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Notificacin de Aprobacin de Solicitud Notification Sender: ejbca@dominio.com.ec NotificationEvents: StatusGenerated Notification Subject: Texto del asunto de la notificacin Notification Message: Texto del mensaje de notificacin
Notificacin de Certificado Generado Notification Sender: ejbca@dominio.com.ec NotificationEvents: StatusinProcess Notification Subject: Texto del asunto de la notificacin Notification Message: Texto del mensaje de notificacin
48
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
49
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Posteriormente ingresamos a la interfaz pblica de EJBCA ingresando la contrasea asignada y procedemos a generar el keystore con el perfil de operador, definiendo la longitud de la clave.
50
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Agregamos el usuario useradmin a este grupo basado en el nmero serial del certificado:
Al usuario anterior le agregamos los siguientes permisos: Role: RA Administrators Authorized CAs: CA Subordinada FAE End Entity Rules: Create End Entities
51
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Edit End Entity Profiles: PerfilUsuarios, Perfil Operador Other Rules: View Logs
52
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Con ello el certificado se importar satisfactoriamente al navegador tal como se muestra a continuacin:
53
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Posteriormente ingresamos a la interfaz de administracin autenticndonos con el certificado importando anteriormente como se muestra en la figura:
Para agregar un Entidad Final seleccionamos la opcin Agregar Entidad Final del men lateral izquierdo y se mostrar la ventana que se muestra a continuacin.
Dentro de la ventana mostrada de debern agregar los datos del usuario como se indica a continuacin:
54
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Una vez ingresados los datos se visualizar un mensaje indicando que se enviado la solicitud para su aprobacin. En el caso de haber elegido la aprobacin por niveles de la solicitud, en funcin de los mismos se realizar lo siguiente: Ingresamos a la interfaz de administracin logueandonos con el usuario Administrador de la RA, como se muestra a continuacin:
55
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
A continuacin agregamos un comentario y luego presionamos el botn Aprove y luego presionamos el botn OK
56
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Con ello la solicitud para la emisin del certificado habra sido aprobada tal como se muestra a continuacin:
Concludo el proceso de Aprovacin ingresamos a la Interfaz pblica y selecionamos la opcin Generate KeyStore como se indica en la siguiente pantalla.
57
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
En la pantalla mostrada el usuario deber ingresar el usuario y el password ingresados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizar la siguiente interfaz:
En la Interfaz anterior seleccionamos el tamo de la llave 1024 o 1536 bits y finalmente presionamos el boton OK con lo cual se proceder a emitir el Keystore del usuario tal como se muestra a continuacin:
58
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net
Este keystore se almacenar en el directorio de Descargas configurado en la PC del usuario y el mismo es el que se emplear para firmar y cifrar el correo. Dicho archivo ser entregado al usuario en un dispositivo de almacenamiento externo, luego de lo cual el archivo generado en el equipo del Administrador deber ser borrado por completo.
59
Direccin: Abelardo Moncayo OE4-08 y Av. Amrica, 3er piso - Quito.Telf: (593-2) 2 242-241 www.redsoluciones.net info@redsoluciones.net