Manual EJBCAv2

PROYECTO:

“IMPLEMENTACIÓN DE UNA SOLUCIÓN DE CORREO ELECTRÓNICO MILITAR

PARA LAS FUERZAS ARMADAS”

IMPLEMENTACIÓN PKI FUERZAS ARMADAS

1Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241

www.redsoluciones.net – [email protected]

mailto:[email protected]

http://www.redsoluciones.net/

ContenidoIMPLEMENTACIÓN PKI FUERZAS ARMADAS........................................................1

CREACION DEL USUARIO ADMINISTRADOR DE LA CA RAIZ........................3

PROCESO PARA LA CREACIÓN DE LA CASUBORDINADA..............................6

CREACIÓN DEL PUBLISHER...................................................................................6

CREACIÓN DEL PERFIL DE CERTIFICADO PARA LA CASUB...........................9

CREACIÓN DE LA AUTORIDAD DE CERTIFICACIÓN SUBORDINADA........10

CREACIÓN DEL PERFIL DE CERTIFICADO PERFIL SERVIDORES.................20

CREACIÓN DEL PERFIL DE ENTIDAD FINAL PERFIL SERVIDORES.............23

CREACIÓN DEL CERTIFICADO DEL SERVIDOR DE EJBCA............................24

Creación de los Roles de Acceso a la Interfaz de Administración de la Entidad de Certificación............................................................................................................25

Creación del Perfil de Certificado Perfil Administrador.........................................26

CREACIÓN DEL PERFIL DE CERTIFICADO PERFIL OPERADOR...................28

CREACIÓN DEL PERFIL DE ENTIDAD FINAL PARA EL OPERADOR.............31

CREACION DEL CERTIFICADO DEL ADMINISTRADOR DE LA PKI..............33

CREACIÓN DEL CERTIFICADO DE ADMINISTRADOR DE LA CA.................34

CREACIÒN DEL CERTIFICADO DE ADMINISTRADOR DE LA RA.................36

ASIGNACIÓN DE LOS USUARIOS A LOS ROLES DE ADMINISTRACIÓN.....39

Administrador de la CA...........................................................................................40

Administrador de la RA...........................................................................................40

Operador de la RA..................................................................................................41

RENOVACION DEL KEYSTORE DEL SERVIDOR...............................................43

CREACIÓN DE LOS PERFILES DE CERTIFICADO PARA LOS USUARIOS FINALES.....................................................................................................................43

CREACIÓN DEL PERFIL DE USUARIO FINAL....................................................45

Configuración de Notificaciones.............................................................................47

CREACIÓN DEL CERTIFICADO DE USUARIO ADMINISTRADOR.................48

CREACIÓN DEL GRUPO OPERADORES..............................................................50

EMISIÓN DE CERTIFICADOS PARA LOS USUARIOS FINALES.......................52





CREACIÓN DEL USUARIO ADMINISTRADOR DE LA CA RAIZ

Crear el Perfil de Certificado de AdministradorEn el menú lateral izquierdo seleccionamos la opción Editar Perfiles de Certificación y se mostrará la siguiente ventana:

Para crear el perfil del certificado en la opción uso de clave debemos seleccionar los usos que se darán al certificado, marcando:

Firma Digital No-repudio Cifrado de clave

En la opción uso de clave extendida seleccionar: Autenticación de Cliente

En el menú CAs disponibles seleccionamos CARaizFuerzasArmadas.En el menú Publicadores seleccionamos la opción LDAPFUERZASARMADAS





Posteriormente creamos el Perfil de Entidad Final para Administrador y creamos la Entidad Final

Ingresamos a la opción Editar privilegios de Administrador y creamos el Grupo Administrador de la PKI.





Luego agregamos al grupo el usuario creado superadministradorraiz en base al Número Serial del Certificado y como CA la CARaizFuerzasArmadas.

A continuación ingresamos a la opción Editar Reglas de Acceso y le damos permiso de superadministrador.





Finalmente procedemos a Borrar el grupo de Administrador, los usuarios temporales creados en el momento de la instalación de EJBCA y la CA Raiz Temporal.

PROCESO PARA LA CREACIÓN DE LA CASUBORDINADA

Ingresamos a la interfaz de administración de la aplicación empleando el certificado del usuario temporal creado durante el proceso de instalación de la entidad de certificación creado con privilegios de super administrador.

Posteriormente seleccionamos el certificado de dicho usuario visualizándose la interfaz de administración:





CREACIÓN DEL PUBLISHER

En la interfaz de administración seleccionamos del panel lateral izquierdo Edit Publisher y se muestra la siguiente interfaz:

En la interfaz mostrada anteriormente en el campo Agregar escribimos el nombre del publicador a crear y presionamos el botón Agregar, mostrándose la siguiente interfaz.





El la interfaz mostrada especificamos los siguientes parámetros:

Tipo de Publicador: LDAP V3 Publisher Hostames: Dirección_IP_servidor_LDAP Puerto de Conexión: 389 o 636 (SSL) Base DN: dc=dominio, dc=com, dc=ec

Ejemplo: Base DN: dc=fae, dc=mil, dc=ec Login DN: cn=admin,dc=dominio,dc=com,dc=ec Login Password: passwadmin Confirm Password: passwadmin

Además seleccionamos las siguientes opciones: Crear usuarios no existentes Eliminar del LDAP los certificados al revocar





En el campo LDAP location fields from cert DN, seleccionar CN, Nombre Común. Éste campo permite seleccionar el identificador por medio del cual se realizarán las búsquedas del sistema.

Finalmente presionamos el botón guardar.

CREACIÓN DEL PERFIL DE CERTIFICADO PARA LA CASUB

La creación del perfil de certificado para la Autoridad de Certificación Subordinada empleando la plantilla SubCA se realiza de la siguiente manera.En el menú lateral izquierdo elegir la opción Editar Perfiles de Certificación. Dentro de la interfaz mostrada en el campo Agregar perfiles ingresamos el nombre del perfil a crear y presionamos la plantilla SubCA.Una vez creado el perfil presionamos para editar el mismo y se mostrará la siguiente interfaz:





En la interfaz mostrada anteriormente configurar lo siguiete: Type: Sub CA Avalable bit lengths: 2048, 4096 bits Signature Algorithm: Inherit from issuing CA Validity or end date of the certificate: 15y

Dentro de las Opciones Key Usage seleccionar: Digital signature Key certificate sign CRL sign

Dentro de la opción Avalable CAs seleccionar Any CA. En la opción Approval Settings seleccionar Add/Edit End Entity Number of Required Approvals: Indicar el número de niveles de aprovación de

los certificados.






CREACIÓN DE LA AUTORIDAD DE CERTIFICACIÓN SUBORDINADA

El certificado de esta entidad será firmado por la CA Externa Raiz de Fuerzas Armadas para lo cual primero ingresamos a la Interfaz pública de la CA Raiz y seleccionamos dentro del menú lateral izquierdo la opción Fetch CA & OCSP certificates y se mostrará la siguiente ventana:

A continuación descargamos el archivo chain.pem de la CA: CARaizFuerzas Armadas y lo guardamos en la PC tal como se muestra en la siguiente figura:





Luego de haber guardado el archivo chain.pem, ingresamos a la interfaz de administración y procedemos a crear una CA, mediante la opción Editar Autoridades de Certificación del menú lateral izquierdo y se mostrará la interfaz que se muestra en la figura:

En la interfaz mostrada anteriormente configurar lo siguiente: Type of CA: x509 CA Token Type: Soft Signing Algorithm: SHA512WithRSA RSA key size: 4096 DSA key size: 1024 Description: Descripción breve de la CASub creada





Seleccionar la opción Use de CRL Distribution Point y Authority Information Access.

Especificamos los siguientes parámetros: Validity certificate: 15y Subject DN: cn=CASubordinada FAE, ou=autoridades Signed By: External CA

Seleccionamos el Publishers LDAP creado anteriormente LDAPFAE.





Dentro de las opciones Other data seleccionamos las opciones de aprovación. Approval Settings: Add/Edit End Entity Número of Required Approvals: Número de aprovación requeridas para emisión

del certificado.

Finalmente presionamos el botón Make Certificate Request y se mostrara una ventana en la cual especificamos el archivo chain.pem y presionamos el botón abrir.





A continuación presionamos el botón Make Certificate Request con lo cual se visualizará la siguiente pantalla:

Una vez realizado esto copiamos el request o nos descargamos el archivo seleccionando la opción Download Pem File y la almacenamos en la PC.





A continuación ingresamos a la interfaz administración de la autoridad de certificación Raiz y nos autenticamos empleando el certificado del administrador de la CA Raiz, tal como se muestra en la siguiente imagen.

Cargado el certificado anterior ingresaremos a la interfaz de administración de la entidad raíz en la cual seleccionamos la opción Edit Certificate Authorities y en el campo agregar entidad especificamos el mismo nombre de la CA subordinada que la creamos anteriormente, tal como se muestra en la siguiente imagen:





A continuación presionamos el botón Proceso de Requerimiento de Certificado con lo cual se visualizará la siguiente pantalla:

Presionamos el botón Browse y seleccionamos el archivo certificaterequest.pem descargado anteriormente





Finalmente presionamos el botón Proceso de Requerimiento de Certificados con lo cual se visualizará la siguiente pantalla:

Ingresamos la descripción y especificamos el periodo de validez de la CA Subordinada en este caso 15 años.

Finalmente presionamos el botón Proceso de Requerimiento de Certificado visualizándose la siguiente interfaz:





Descargamos el archivo .pem y lo almacenamos en la PC tal como se muestra a continuación:

Ingresamos a la interfaz de admnistración de la CA Subordinada y selecionamos la CA Subordinada creada anteriormente y presionamos el botón Editar CA visualizándose la siguiente pantalla:





Presionamos el botón Receive Certificate Response y a continuación se visualizará la siguiente interfaz:

Luego cargamos el Archivo cert.pem y presionamos el botón Receive Certificate Response con lo cual si todo salió correctamente se mostrará la siguiente Pantalla:

Como se puede apreciar la autoridad de certificación subordinada se ha creado satisfactoriamente y se encuentra activa.

A continuación procedemos a editar la CA Subordinada y a la Dirección del Servidor en el cual se publicaran las CRLS y presionamos el botón Generate.





A continuación especificamos la dirección del servidor OCSP, y presionamos el botón Generate.

Finalmente guardamos los cambios realizados con lo cual tenemos creada la AC Subordinada firmada por la autoridad de certificación de Fuerza Armadas.

CREACIÓN DEL PERFIL DE CERTIFICADO PERFIL SERVIDORES

Ingresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la opción Edit Certificate Profiles y procedemos a crear el perfil del certificado PerfilServidores utilizando la plantilla Server, como se muestra a continuación:





Una vez creado el PerfilServidores procedemos a seleccionarlo y editarlo presionando el botón Edit Certificate Profile, mostrándose la sigueinte pantalla.

En la interfaz mostrada anteriormente especificamos los siguientes parámetros:

Type: End Entity Avalable bit lengths: 1536, 2048bits Signature Algorithm: SHA512WithRSA Validity or end date of the certificate: 15y

Dentro de las Opciones Key Usage seleccionar: Digital signature Key enciphermet

Además dentro de las opciones de Extended Key Usage seleccionar Server Authentication






A continuación especificamos la CA Subordinada que vamos a utilizar y el Publisher a emplear tal como se muestra en la siguiente imagen:





CREACIÓN DEL PERFIL DE ENTIDAD FINAL PERFIL SERVIDORES

Ingresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la opción Edit Certificate End Entity y procedemos a crear el perfil PerfilServidores como se muestra a continuación

A continuación especificamos los siguientes parámetros:

Minimun Password Strenght: 60 Email Domain: dominio.com.ec. Selecionamos las opciones Use y Required. Seleccionamos la opción Batch Generation

Agregamos al Perfil los siguietes atributos: Cn,Comomon Name UID,Unique Identifier OU,Organization Unit O,Organization C,Counttry

Los atributos seleccionados se muestran en la siguiente interfaz:





Cabe mencionar que los atributos agregados enteriormente son los datos de la entidad que se mostrarán en el Certificado Digital.

A continuación seleccionamos los siguientes opciones:

Perfil de Certificado: PerfilServidores CA disponibles: CA Subordinada Tipos de Token a Generar: User Generate P12, JKS, PEM

Finalmente guardamos los cambios realizados presionando el botón Add.

CREACIÓN DEL CERTIFICADO DEL SERVIDOR DE EJBCA

Ingresamos a la interfaz de Administración de EJBCA y procedemos a seleccionar la opción Add Entity visualizándose la siguiente interfaz:





En la interfaz anterior ingresamos los datos de la entidad que se mostrarán en el certificado a crear. Para agregar los datos ingresados presionamos el botón Add.

Ingresamos vía ssh al servidor y editamos el archivo /opt/ejbca/bin/batchtool.properties agregamos la siguiente línea:keys.spec=4096

Luego digitamos los siguientes comandos:# cd /opt/ejbca/# bin/ejbca.sh batch

Ejecutados los comandos anteriores en el directorio /opt/ejbca/p12 se creará el archivo ejbca.jks que contiene la clave pública y privada del servidor ejbca.

Creación de los Roles de Acceso a la Interfaz de Administración de la Entidad de Certificación

Los Roles que se creará para ingresar a la interfaz de administración de EJBCA son los siguientes:

Administrador PKI: Tendrá acceso total a la interfaz de Adminsitración. Administrador CA: Tendrá acceso a las funciones de Adminstración de la CA. Administrador RA: Tendrá acceso a las funciones de Adminstración de la RA. Operador RA: Tendrá acceso unicamente a la opción de registro de entidades

Finales.Para la creación de los roles detallados anteriormente seguimos el siguiente procedimiento:

Ingresamos a la interfaz de administración de EJBCA y seleccionamos la opción Editar Privilegios de Administrador.

En la interfaz mostrada sleccionamos la opción Agregar y a continuación especificamos





el Rol a crear tal como se muestra en la siguiente imagen:

Finalmente presionamos el botón OK con el cual rol ingresado se creará satisfactoriamente

A continuación procedemos a crear cada uno de los usuarios que formarán parte de los roles creados anteriormente para lo cual primero procedemos a crear el Perfil de Certificado y de Entidad Final para dichos usuarios tal como se muestra a continuación:

Creación del Perfil de Certificado Perfil Administrador

Ingresamos a la interfaz de administración de EJBCA y en el menú lateral izquierdo seleccionamos la opción Editar Perfiles de Certificación y visualizándose la siguiente ventana:

Creamos el perfil Perfil Administradores utilizando como plantilla ENDUSER. A continuación seleccionamos el perfil creado y presionamos el botón Edit Certificate Profiles mostrándose la siguiente pantalla:





En la interfaz mostrada anteriormente especificamos los siguientes parámetros:

Type: End Entity Avalable bit lengths: 1024,1536, 2048bits Signature Algorithm: SHA512WithRSA Validity or end date of the certificate: 10y

A continuación en la opción uso de clave debemos seleccionar los usos que se darán al certificado, marcando:


Además en la opción uso de clave extendida seleccionar: Autenticación de Cliente

En el menú CAs disponibles seleccionamos Autoridad de Certificación Subordinada y el





Publicador configurado anteriormente.

Finalmente guardamos los cambios realizados presionando el botón Grabar.

CREACIÓN DEL PERFIL DE CERTIFICADO PERFIL OPERADOR

Ingresamos a la interfaz de administración de EJBCA y en el menú lateral izquierdo seleccionamos la opción Editar Perfiles de Certificación y visualizándose la siguiente ventana:

Creamos el perfil Perfil Administradores utilizando como plantilla ENDUSER. A continuación seleccionamos el perfil creado y presionamos el botón Edit Certificate Profiles mostrándose la siguiente pantalla:





En la interfaz mostrada anteriormente especificamos los siguientes parámetros: Type: End Entity Avalable bit lengths: 1024,1536 bits Signature Algorithm: SHA256WithRSA Validity or end date of the certificate: 10y

A continuación en la opción uso de clave debemos seleccionar los usos que se darán al certificado, marcando:


Además en la opción uso de clave extendida seleccionar: Autenticación de Cliente y Email Protection.

En el menú CAs disponibles seleccionamos Autoridad de Certificación Subordinada y el Publicador configurado anteriormente.





Finalmente guardamos los cambios realizados presionando el botón Grabar.

Creación del Perfil de Entidad Final Perfil AdministradoresIngresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la opción Edit Certificate End Entity y procedemos a crear el perfil PerfilAdminsitradores. A continuación seleccionamos el perfil creado y presionamos el botón Edit Certificate Profiles mostrándose la siguiente pantalla:

En la interfaz anterior especificamos los siguientes parámetros:

Minimun Password Strenght: 60 Email Domain: dominio.com.ec. Selecionamos las opciones Use y Required.

Agregamos al Perfil los siguietes atributos: Cn,Comomon Name UID,Unique Identifier OU,Organization Unit O,Organization





C,Counttry


Cabe mencionar que los atributos agregados enteriormente son los datos de la entidad que se mostrarán en el Certificado Digital.


Perfil de Certificado: PerfilAdministradores CA disponibles: CA Subordinada Tipos de Token a Generar: User Generate P12, JKS, PEM

Finalmente guardamos los cambios realizados presionando el botón Add.

CREACIÓN DEL PERFIL DE ENTIDAD FINAL PARA EL OPERADOR

Ingresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la





opción Edit Certificate End Entity y procedemos a crear el perfil PerfilAdminsitradores. . A continuación seleccionamos el perfil creado y presionamos el botón Edit Certificate Profiles mostrándose la siguiente pantalla:

En la interfaz anterior especificamos los siguientes parámetros:

Minimun Password Strenght: 60 Email Domain: dominio.com.ec. Selecionamos las opciones Use y Required.

Agregamos al Perfil los siguietes atributos: Cn,Comomon Name UID,Unique Identifier OU,Organization Unit O,Organization C,Counttry


Cabe mencionar que los atributos agregados enteriormente son los datos de la entidad





que se mostrarán en el Certificado Digital.


Perfil de Certificado: PerfilOperadores CA disponibles: CA Subordinada Tipos de Token a Generar: User Generate P12, JKS, PEM

CREACIÓN DEL CERTIFICADO DEL ADMINISTRADOR DE LA PKI


En la interfaz anterior seleccionamos el perfil de certificado creado anterioremente asi como el el perfil de entidad esto es Perfil Administradores. A continución ingresamos los datos de la entidad que se mostrarán en el certificado a crear. Para agregar los datos





ingresados presionamos el botón Add.

A continuación Ingresamos a la Interfaz pública y selecionamos la opción Generate KeyStore visualizándose la siguiente interfaz:

A continuación ingresamos el usuario y el password especificados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizará la siguiente interfaz:

En la Interfaz anterior seleccionamos el tamaño de la llave 1024 o 1536 bits y finalmente presionamos el boton OK con lo cual se procederá a emitir el Keystore.

CREACIÓN DEL CERTIFICADO DE ADMINISTRADOR DE LA CA






En la interfaz anterior seleccionamos el perfilde certificado creado anterioremente asi como el el perfil de entidad esto es Perfifil Administradores. A continución ingresamos los datos de la entidad que se mostrarán en el certificado a crear. Para agregar los datos ingresados presionamos el botón Add.

A continuación ingresamos a la Interfaz pública y selecionamos la opcóon Generate KeyStore visualizándose la siguiente pantalla:






En la Interfaz anterior seleccionamos el tamño de la llave 1024 o 1536 bits y finalmente presionamos el botón OK con lo cual se procederá a emitir el Keystore tal como se muestra a continuación:

CREACIÒN DEL CERTIFICADO DE ADMINISTRADOR DE LA RA






En la interfaz anterior seleccionamos el perfilde certificado creado anterioremente asi como el el perfil de entidad esto es Perfifil Administradores. A continución ingresamos los datos de la entidad que se mostrarán en el certificado a crear. Para agregar los datos ingresados presionamos el botón Add.

A continuación Ingresamos a la Interfaz pública y selecionamos la opcion Generate KeyStore visualizándose la siguiente pantalla:






En la interfaz anterior seleccionamos el tamño de la llave 1024 o 1536 bits y finalmente presionamos el botón OK con lo cual se procederá a emitir el Keystore tal como se muestra a continuación:





CREACIÓN DEL CERTIFICADO DEL OPERADOR DE LA RA


En la interfaz anterior seleccionamos el perfil de certificado creado anterioremente asi como el el perfil de entidad esto es Perfil Administradores. A continución ingresamos los datos de la entidad que se mostrarán en el certificado a crear. Para agregar los datos ingresados presionamos el botón Add.

A continuación ingresamos a la Interfaz pública y selecionamos la opcion Generate KeyStore visualizándose la siguiente pantalla:






En la Interfaz anterior seleccionamos el tamño de la llave 1024 o 1536 bits y finalmente presionamos el boton OK con lo cual se procederá a emitir el Keystore tal como se muestra a continuación:

ASIGNACIÓN DE LOS USUARIOS A LOS ROLES DE ADMINISTRACIÓN.

Administrador de la CA

Agregamos el usuario administrador CA en base al número serial del certificado para lo cual previamente seleccionamos el Rol Administrador de la CA tal como se muestra a continuación:

A continuación asignamos los permisos para el rol Administrador de la CA tal como se muestra a continuación:





Administrador de la RA

Agregamos el usuario administradorca en base al numero serial del certificado para lo cual previamente seleccionamos el Rol Administrador de la RA tal como se muestra a continuación:

Al usuario anterior le asignamos permisos de administrador de la RA al como se muestra a continuación:





Operador de la RA

Agregamos el usuario operadorra en base al numero serial del certificado para lo cual previamente seleccionamos el Rol Operador de la RA tal como se muestra a continuación:





Al usuario anterior le asignamos permisos de administrador de la RA al como se muestra a continuación:

RENOVACIÓN DEL KEYSTORE DEL SERVIDOR

Para realizar la renovación del Keystore del servidor nos ubicamos en el directorio /opt/ejbca y ejcutamos los siguientes comandos:

#bin/ejbca.sh ca getrootcert 'Nombre CA' casubordinada.pem #openssl x509 -in casubordinada.pem -out casubordinada.der -outform DER #keytool -importcert -alias casubordinada -file casubordinada.der -keystore

p12/truststore_new.jks

Al digitar el comando anterior se pedirá especificar el password para el Nuevo keystore en el cual se debe especificarse el mismo password puesto en el archivo de configuración web.properties en la opción java.trustpassword.





A continuación procedemos a detener el servidor Jboss y a ejecutar los siguientes comandos:

#cp ejbca.jks /opt/jboss/server/ejbca/conf/keystore/keystore.jks #cp truststore_new.jks /opt/jboss/server/ejbca/conf/keystore/truststore.jks

CREACIÓN DE LOS PERFILES DE CERTIFICADO PARA LOS USUARIOS FINALES

Ingresamos a la interfaz de la entidad de certificación subordinada y seleccionamos la opción Edit Certificate Profiles y procedemos a crear el perfil del certificado PerfilUsuarios utilizando la plantilla EndUser. Una vez creado el perfil procedemos a seleccionarlo y editarlo presionando el botón Edit Certificate Profile, mostrándose la siguiente pantalla.

En la interfaz mostrada anteriormente configurar lo siguiente: Type: End Entity Avalable bit lengths: 1024, 1536, 2048 bits Signature Algorithm: SHA512WithRSA Validity or end date of the certificate: 7y

Dentro de las Opciones Key Usage seleccionar: Digital signature Non-Repudiation Key certificate sign

Además dentro de las opciones de Extended Key Usage seleccionar Client Authentication y Email Protection.






Seleccionamos el Publishers LDAP creado anteriormente LDAPFAE. Approval Settings: Add/Edit End Entity Número of Required Approvals: Número de aprovaciones requeridas para

emisión del certificado.





Presionamos el botón guardar.

CREACIÓN DEL PERFIL DE USUARIO FINAL

Para la creación del perfil de Usuario Final seleccionamos del menú lateral izquierdo Edit End Entity Profile y procedemos a crear el perfil PerfilUsuarios. Una vez creado el perfil procedemos a seleccionarlo y editarlo presionando el botón Edit End Entity Profile, mostrándose la siguiente pantalla.

Dentro de la ventana mostrada configuramos las opciones que el usuario final deberá llenar para la generación del certificado como las siguientes opciones:

Username Password: Required, Podemos establecer además la combinacion de caracteres

utilizada y la longitud del mismo, por defecto 8. E-mail domain: dominio.com.ec Atributos DN:

o Subject DN Attributeso CN, Common nameo UID, Unique Identifiero OU, Organizational Unito givenName, Given name(first name)o Surname, Surname (last name)o title, Titleo O, Organizationalo C, Country

De las opciones anteriores adicionalemente podemos definir si se desea que dichos parámetros sean requeridos y/o modificables.





Adicionalemnte verificamos las sigueitnes opciones:

Available Certificate Profiles: PerfilUsuarios Default CA: CA Subordinada FAE Default Token: P12 file Available Tokens: USer Generated, P12 file, JKS File, PEM file

Configuración de Notificaciones

Para configurar las respectivas notificaciones en funciones de los diferentes estados activamos la opción Send Notification y configuramos las opciones que se indican a continuación:

Notificaciones de estado Notification Sender: [email protected] NotificationEvents: StatusinProcess Notification Subject: Texto del asunto de la notificación Notification Message: Texto del mensaje de notificación






Notificación de Aprobación de Solicitud Notification Sender: [email protected] NotificationEvents: StatusGenerated Notification Subject: Texto del asunto de la notificación Notification Message: Texto del mensaje de notificación

Notificación de Certificado Generado Notification Sender: [email protected] NotificationEvents: StatusinProcess Notification Subject: Texto del asunto de la notificación Notification Message: Texto del mensaje de notificación








CREACIÓN DEL CERTIFICADO DE USUARIO ADMINISTRADOR

Para la creación del certificado del usuario Administrador seguimos los siguientes pasos:

En la interfaz de Administración seleccionamos Agregar Entidad Final y se muestra la pantalla que se indica a continuación, dentro de la cual debemos configurar lo siguiente:

Perfil de Entidad Final: PerfilOperador Nombre de Usuario: useradmin Password: Passwordadmin Confirmar Password: Passwordadmin email: [email protected] CN, Nombre Común: Usuario Administrador UID, Id Único: useradmin, este nombre es igual al Nombre de Usuario OU, Unidad Organizacional: Usuarios O, Organización: Fuerzas Armadas C, País: Ecuador Perfil del Certificado: PerfilOperador CA: CA Subordinada FAE Token: Archivo P12






Posteriormente ingresamos a la interfaz pública de EJBCA ingresando la contraseña asignada y procedemos a generar el keystore con el perfil de operador, definiendo la longitud de la clave.

CREACIÓN DEL GRUPO OPERADORES

Para la creación del grupo operadores ingresamos a la interfaz de administración con el usuario Administrador CA y seleccionamos del menú lateral izquierdo Edit Administrator Privileges y presionamos Add, mostrándonos un cuadro de texto para agregar el nuevo grupo.





Agregamos el usuario useradmin a este grupo basado en el número serial del certificado:

Al usuario anterior le agregamos los siguientes permisos: Role: RA Administrators Authorized CAs: CA Subordinada FAE End Entity Rules: Create End Entities





Edit End Entity Profiles: PerfilUsuarios, Perfil OperadorOther Rules: View Logs


EMISIÓN DE CERTIFICADOS PARA LOS USUARIOS FINALES

Para la emisión de certificados para los usuarios finales, primero importamos el Certificado del usuario useradmin al Navegador de la siguiente manera:

Dentro de las opciones del Navegador seleccionamos la opción de encripción y presionamos el botón ver certificados. Dentro de esta opción nos permite importar certificados, para ello buscamos el certificado a importar y seleccionamos abrir como se muestra a continuación:





A continuación ingresamos el respectivo pasprase y presionamos ok.

Con ello el certificado se importará satisfactoriamente al navegador tal como se muestra a continuación:





Posteriormente ingresamos a la interfaz de administración autenticándonos con el certificado importando anteriormente como se muestra en la figura:

Una vez que nos logueamos correctamente se visualizará la siguiente interfaz:

Para agregar un Entidad Final seleccionamos la opción Agregar Entidad Final del menú lateral izquierdo y se mostrará la ventana que se muestra a continuación.

Dentro de la ventana mostrada de deberán agregar los datos del usuario como se indica





a continuación:

Adicionalamente selecccionamos la opción Enviar Notificación y presionamos el botón agregar.

Una vez ingresados los datos se visualizará un mensaje indicando que se enviado la solicitud para su aprobación.

En el caso de haber elegido la aprobación por niveles de la solicitud, en función de los mismos se realizará lo siguiente:

Ingresamos a la interfaz de administración logueandonos con el usuario Administrador de la RA, como se muestra a continuación:





En la interfaz visualizada seleccionamos la opción Apobar Acciones mostrándose la siguiente pantalla:

Seleccionamos la opción Add End Entity visualizándose la siguiente interfaz:

A continuación agregamos un comentario y luego presionamos el botón Aprove y luego





presionamos el botón OK

Con ello la solicitud para la emisión del certificado habra sido aprobada tal como se muestra a continuación:

Concluído el proceso de Aprovación ingresamos a la Interfaz pública y selecionamos la opción Generate KeyStore como se indica en la siguiente pantalla.





En la pantalla mostrada el usuario deberá ingresar el usuario y el password ingresados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizará la siguiente interfaz:

En la Interfaz anterior seleccionamos el tamño de la llave 1024 o 1536 bits y finalmente presionamos el boton OK con lo cual se procederá a emitir el Keystore del usuario tal como se muestra a continuación:





Este keystore se almacenará en el directorio de Descargas configurado en la PC del usuario y el mismo es el que se empleará para firmar y cifrar el correo.

Dicho archivo será entregado al usuario en un dispositivo de almacenamiento externo, luego de lo cual el archivo generado en el equipo del Administrador deberá ser borrado por completo.





Manual EJBCAv2

Documents

Transcript of Manual EJBCAv2