1. 概述
Yeeach证书体系
Yeeach 证书体系分为3级:
第一级:用于证书授权(Certificate Authority)
Yeeach Root CA,Yeeach证书体系的根证书。
第二级:用于证书发放审核
Yeeach Consumer CA,实际上就是用于签发Yeeach普通用户证书的RA
Yeeach Merchant CA,实际上就是用于签发Yeeach商户证书的RA
第三级:普通用户或商户的个人证书
2. EJBCA管理员使用指南
1)、在客户端浏览器导入superadmin.p12证书
superadmin.p12可以从ejbca_3_9_3/p12获得。
2)、访问https://ca.yeeach.com:8443/ejbca/adminweb/index.jsp
3)、增加RA:Yeeach Merchant CA及Yeeach Consumer CA
增加Yeeach Consumer CA:CA Functions->Edit Certificate Authorities->Create
增加Yeeach Merchant CA:CA Functions->Edit Certificate Authorities->Create
下面以增加Yeeach Consumer CA为例子,说明一下增加过程。
其中:
RSA key size:2048
Subject DN:CN=Yeeach Consumer Ca,O=Yeeach,C=CN
Signed By:Yeeach Root CA
Validity (*y *mo *d) or end date of the certificate:3650d
Use PrintableString encoding in DN:选中
Approval Settings:不选择(选中所有的需要通过审批过程,增加End Entity 时候提示Request has been sent for approval)
对于增加Yeeach Merchant CA的过程类似。
3)、增加End Entity Profile
RA Functions ->Edit End Entity Profiles增加End Entity Profile
然后选中在“Current End Entity Profiles”选中“Yeeach Consumer End Entity Profile”,点击“Edit End Entity Profile”
在Subject DN Fields,通过Add按钮,增加如下属性,且都为(Required 、Modifiable):
CN, Common name
UID, Unique Identifier
O, Organization
Default CA:Yeeach Consumer CA
Available CAs:Yeeach Consumer CA
Default Token:P12
Available Tokens:P12
Approval Settings:不选择(选中所有的需要通过审批过程,增加End Entity 时候提示Request has been sent for approval)
4)、增加一个Yeeach Consumer CA的普通用户liangchuan
RA Functions ->Add End Entity增加一个Yeeach Consumer CA的普通用户liangchuan
End Entity Profile选中刚才新增的“Yeeach Consumer End Entity Profile”
Token:
p12 File用于存放个人证书/私钥,包含保护密码,存储方式为2进制形式
PEM File用于存放个人证书,不包含私钥,存放方式是ascii形式
JKS File如果要用于Web Service及Java程序,选用此选项
4)、增加一个Yeeach Consumer CA(RA)的管理员ra1并授予管理员权限
Superadmin增加Yeeach Consumer CA(RA)的管理员ra1并授予管理员权限后,ra1就可以作为RA的管理员,对所属RA的用户证书注册等操作进行操作。
RA Functions ->Add End Entity增加一个Yeeach Consumer CA的管理员ra1
System Functions-> Edit Administrator Privileges-> Add->增加“Yeeach Consumer CA Administrator Group”
点击Yeeach Consumer CA Administrator Group中的Administrator,进入“Administrators in group Yeeach Consumer CA Administrator Group”,按照下图增加RA管理员ra1
点击Edit Access Rules,进入“Access Rules for group Yeeach Consumer CA Administrator Group”,授予RA Administrators的角色权限。
3. 下载客户端证书
1)、访问https://ca.yeeach.com:8443/ejbca/index.jsp
2)、点击Create Keystore,以从管理后台新增的用户的用户名及密码登录
Key length:2048 bits
Certificate profile:ENDUSER
备注:
EJBCA缺省情况下只允许从Public前台下载一次用户证书,下载后,用户证书的状态从“New”变为“Generated”,可以在管理后台按照如下步骤修改用户状态:
1、 https://ca.yeeach.com:8443/ejbca/adminweb/index.jsp
2、RA Functions->Search/Edit End Entities->Or with status 选择All,点击search->Edit_End_Entity->在查询结果对应用户的记录,点击Edit_End_Entity ->在Edit End Entity页面
输入Password及Confirum Password,将用户状态从“Generated”修改为“New”
把所生成的证书发送给用户,用户将证书导入浏览器后既可以使用。
现在pdf版本:基于EJBCA搭建自己的CA认证中心之EJBCA管理员使用指南.pdf