Manual EJBCAv2
-
Upload
maximo-ochoa-fuentes -
Category
Documents
-
view
136 -
download
2
Transcript of Manual EJBCAv2
PROYECTO:
“IMPLEMENTACIÓN DE UNA SOLUCIÓN DE CORREO ELECTRÓNICO MILITAR
PARA LAS FUERZAS ARMADAS”
IMPLEMENTACIÓN PKI FUERZAS ARMADAS
1Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
ContenidoIMPLEMENTACIÓN PKI FUERZAS ARMADAS........................................................1
CREACION DEL USUARIO ADMINISTRADOR DE LA CA RAIZ........................3
PROCESO PARA LA CREACIÓN DE LA CASUBORDINADA..............................6
CREACIÓN DEL PUBLISHER...................................................................................6
CREACIÓN DEL PERFIL DE CERTIFICADO PARA LA CASUB...........................9
CREACIÓN DE LA AUTORIDAD DE CERTIFICACIÓN SUBORDINADA........10
CREACIÓN DEL PERFIL DE CERTIFICADO PERFIL SERVIDORES.................20
CREACIÓN DEL PERFIL DE ENTIDAD FINAL PERFIL SERVIDORES.............23
CREACIÓN DEL CERTIFICADO DEL SERVIDOR DE EJBCA............................24
Creación de los Roles de Acceso a la Interfaz de Administración de la Entidad de Certificación............................................................................................................25
Creación del Perfil de Certificado Perfil Administrador.........................................26
CREACIÓN DEL PERFIL DE CERTIFICADO PERFIL OPERADOR...................28
CREACIÓN DEL PERFIL DE ENTIDAD FINAL PARA EL OPERADOR.............31
CREACION DEL CERTIFICADO DEL ADMINISTRADOR DE LA PKI..............33
CREACIÓN DEL CERTIFICADO DE ADMINISTRADOR DE LA CA.................34
CREACIÒN DEL CERTIFICADO DE ADMINISTRADOR DE LA RA.................36
ASIGNACIÓN DE LOS USUARIOS A LOS ROLES DE ADMINISTRACIÓN.....39
Administrador de la CA...........................................................................................40
Administrador de la RA...........................................................................................40
Operador de la RA..................................................................................................41
RENOVACION DEL KEYSTORE DEL SERVIDOR...............................................43
CREACIÓN DE LOS PERFILES DE CERTIFICADO PARA LOS USUARIOS FINALES.....................................................................................................................43
CREACIÓN DEL PERFIL DE USUARIO FINAL....................................................45
Configuración de Notificaciones.............................................................................47
CREACIÓN DEL CERTIFICADO DE USUARIO ADMINISTRADOR.................48
CREACIÓN DEL GRUPO OPERADORES..............................................................50
EMISIÓN DE CERTIFICADOS PARA LOS USUARIOS FINALES.......................52
2Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
CREACIÓN DEL USUARIO ADMINISTRADOR DE LA CA RAIZ
Crear el Perfil de Certificado de AdministradorEn el menú lateral izquierdo seleccionamos la opción Editar Perfiles de Certificación y se mostrará la siguiente ventana:
Para crear el perfil del certificado en la opción uso de clave debemos seleccionar los usos que se darán al certificado, marcando:
Firma Digital No-repudio Cifrado de clave
En la opción uso de clave extendida seleccionar: Autenticación de Cliente
En el menú CAs disponibles seleccionamos CARaizFuerzasArmadas.En el menú Publicadores seleccionamos la opción LDAPFUERZASARMADAS
3Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Posteriormente creamos el Perfil de Entidad Final para Administrador y creamos la Entidad Final
Ingresamos a la opción Editar privilegios de Administrador y creamos el Grupo Administrador de la PKI.
4Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Luego agregamos al grupo el usuario creado superadministradorraiz en base al Número Serial del Certificado y como CA la CARaizFuerzasArmadas.
A continuación ingresamos a la opción Editar Reglas de Acceso y le damos permiso de superadministrador.
5Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Finalmente procedemos a Borrar el grupo de Administrador, los usuarios temporales creados en el momento de la instalación de EJBCA y la CA Raiz Temporal.
PROCESO PARA LA CREACIÓN DE LA CASUBORDINADA
Ingresamos a la interfaz de administración de la aplicación empleando el certificado del usuario temporal creado durante el proceso de instalación de la entidad de certificación creado con privilegios de super administrador.
Posteriormente seleccionamos el certificado de dicho usuario visualizándose la interfaz de administración:
6Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
CREACIÓN DEL PUBLISHER
En la interfaz de administración seleccionamos del panel lateral izquierdo Edit Publisher y se muestra la siguiente interfaz:
En la interfaz mostrada anteriormente en el campo Agregar escribimos el nombre del publicador a crear y presionamos el botón Agregar, mostrándose la siguiente interfaz.
7Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
El la interfaz mostrada especificamos los siguientes parámetros:
Tipo de Publicador: LDAP V3 Publisher Hostames: Dirección_IP_servidor_LDAP Puerto de Conexión: 389 o 636 (SSL) Base DN: dc=dominio, dc=com, dc=ec
Ejemplo: Base DN: dc=fae, dc=mil, dc=ec Login DN: cn=admin,dc=dominio,dc=com,dc=ec Login Password: passwadmin Confirm Password: passwadmin
Además seleccionamos las siguientes opciones: Crear usuarios no existentes Eliminar del LDAP los certificados al revocar
8Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
En el campo LDAP location fields from cert DN, seleccionar CN, Nombre Común. Éste campo permite seleccionar el identificador por medio del cual se realizarán las búsquedas del sistema.
Finalmente presionamos el botón guardar.
CREACIÓN DEL PERFIL DE CERTIFICADO PARA LA CASUB
La creación del perfil de certificado para la Autoridad de Certificación Subordinada empleando la plantilla SubCA se realiza de la siguiente manera.En el menú lateral izquierdo elegir la opción Editar Perfiles de Certificación. Dentro de la interfaz mostrada en el campo Agregar perfiles ingresamos el nombre del perfil a crear y presionamos la plantilla SubCA.Una vez creado el perfil presionamos para editar el mismo y se mostrará la siguiente interfaz:
9Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
En la interfaz mostrada anteriormente configurar lo siguiete: Type: Sub CA Avalable bit lengths: 2048, 4096 bits Signature Algorithm: Inherit from issuing CA Validity or end date of the certificate: 15y
Dentro de las Opciones Key Usage seleccionar: Digital signature Key certificate sign CRL sign
Dentro de la opción Avalable CAs seleccionar Any CA. En la opción Approval Settings seleccionar Add/Edit End Entity Number of Required Approvals: Indicar el número de niveles de aprovación de
los certificados.
10Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Finalmente presionamos el botón guardar.
CREACIÓN DE LA AUTORIDAD DE CERTIFICACIÓN SUBORDINADA
El certificado de esta entidad será firmado por la CA Externa Raiz de Fuerzas Armadas para lo cual primero ingresamos a la Interfaz pública de la CA Raiz y seleccionamos dentro del menú lateral izquierdo la opción Fetch CA & OCSP certificates y se mostrará la siguiente ventana:
A continuación descargamos el archivo chain.pem de la CA: CARaizFuerzas Armadas y lo guardamos en la PC tal como se muestra en la siguiente figura:
11Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Luego de haber guardado el archivo chain.pem, ingresamos a la interfaz de administración y procedemos a crear una CA, mediante la opción Editar Autoridades de Certificación del menú lateral izquierdo y se mostrará la interfaz que se muestra en la figura:
En la interfaz mostrada anteriormente configurar lo siguiente: Type of CA: x509 CA Token Type: Soft Signing Algorithm: SHA512WithRSA RSA key size: 4096 DSA key size: 1024 Description: Descripción breve de la CASub creada
12Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Seleccionar la opción Use de CRL Distribution Point y Authority Information Access.
Especificamos los siguientes parámetros: Validity certificate: 15y Subject DN: cn=CASubordinada FAE, ou=autoridades Signed By: External CA
Seleccionamos el Publishers LDAP creado anteriormente LDAPFAE.
13Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Dentro de las opciones Other data seleccionamos las opciones de aprovación. Approval Settings: Add/Edit End Entity Número of Required Approvals: Número de aprovación requeridas para emisión
del certificado.
Finalmente presionamos el botón Make Certificate Request y se mostrara una ventana en la cual especificamos el archivo chain.pem y presionamos el botón abrir.
14Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
A continuación presionamos el botón Make Certificate Request con lo cual se visualizará la siguiente pantalla:
Una vez realizado esto copiamos el request o nos descargamos el archivo seleccionando la opción Download Pem File y la almacenamos en la PC.
15Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
A continuación ingresamos a la interfaz administración de la autoridad de certificación Raiz y nos autenticamos empleando el certificado del administrador de la CA Raiz, tal como se muestra en la siguiente imagen.
Cargado el certificado anterior ingresaremos a la interfaz de administración de la entidad raíz en la cual seleccionamos la opción Edit Certificate Authorities y en el campo agregar entidad especificamos el mismo nombre de la CA subordinada que la creamos anteriormente, tal como se muestra en la siguiente imagen:
16Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
A continuación presionamos el botón Proceso de Requerimiento de Certificado con lo cual se visualizará la siguiente pantalla:
Presionamos el botón Browse y seleccionamos el archivo certificaterequest.pem descargado anteriormente
17Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Finalmente presionamos el botón Proceso de Requerimiento de Certificados con lo cual se visualizará la siguiente pantalla:
Ingresamos la descripción y especificamos el periodo de validez de la CA Subordinada en este caso 15 años.
Finalmente presionamos el botón Proceso de Requerimiento de Certificado visualizándose la siguiente interfaz:
18Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Descargamos el archivo .pem y lo almacenamos en la PC tal como se muestra a continuación:
Ingresamos a la interfaz de admnistración de la CA Subordinada y selecionamos la CA Subordinada creada anteriormente y presionamos el botón Editar CA visualizándose la siguiente pantalla:
19Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Presionamos el botón Receive Certificate Response y a continuación se visualizará la siguiente interfaz:
Luego cargamos el Archivo cert.pem y presionamos el botón Receive Certificate Response con lo cual si todo salió correctamente se mostrará la siguiente Pantalla:
Como se puede apreciar la autoridad de certificación subordinada se ha creado satisfactoriamente y se encuentra activa.
A continuación procedemos a editar la CA Subordinada y a la Dirección del Servidor en el cual se publicaran las CRLS y presionamos el botón Generate.
20Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
A continuación especificamos la dirección del servidor OCSP, y presionamos el botón Generate.
Finalmente guardamos los cambios realizados con lo cual tenemos creada la AC Subordinada firmada por la autoridad de certificación de Fuerza Armadas.
CREACIÓN DEL PERFIL DE CERTIFICADO PERFIL SERVIDORES
Ingresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la opción Edit Certificate Profiles y procedemos a crear el perfil del certificado PerfilServidores utilizando la plantilla Server, como se muestra a continuación:
21Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Una vez creado el PerfilServidores procedemos a seleccionarlo y editarlo presionando el botón Edit Certificate Profile, mostrándose la sigueinte pantalla.
En la interfaz mostrada anteriormente especificamos los siguientes parámetros:
Type: End Entity Avalable bit lengths: 1536, 2048bits Signature Algorithm: SHA512WithRSA Validity or end date of the certificate: 15y
Dentro de las Opciones Key Usage seleccionar: Digital signature Key enciphermet
Además dentro de las opciones de Extended Key Usage seleccionar Server Authentication
22Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Seleccionar la opción Use de CRL Distribution Point y Authority Information Access.
A continuación especificamos la CA Subordinada que vamos a utilizar y el Publisher a emplear tal como se muestra en la siguiente imagen:
23Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
CREACIÓN DEL PERFIL DE ENTIDAD FINAL PERFIL SERVIDORES
Ingresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la opción Edit Certificate End Entity y procedemos a crear el perfil PerfilServidores como se muestra a continuación
A continuación especificamos los siguientes parámetros:
Minimun Password Strenght: 60 Email Domain: dominio.com.ec. Selecionamos las opciones Use y Required. Seleccionamos la opción Batch Generation
Agregamos al Perfil los siguietes atributos: Cn,Comomon Name UID,Unique Identifier OU,Organization Unit O,Organization C,Counttry
Los atributos seleccionados se muestran en la siguiente interfaz:
24Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Cabe mencionar que los atributos agregados enteriormente son los datos de la entidad que se mostrarán en el Certificado Digital.
A continuación seleccionamos los siguientes opciones:
Perfil de Certificado: PerfilServidores CA disponibles: CA Subordinada Tipos de Token a Generar: User Generate P12, JKS, PEM
Finalmente guardamos los cambios realizados presionando el botón Add.
CREACIÓN DEL CERTIFICADO DEL SERVIDOR DE EJBCA
Ingresamos a la interfaz de Administración de EJBCA y procedemos a seleccionar la opción Add Entity visualizándose la siguiente interfaz:
25Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
En la interfaz anterior ingresamos los datos de la entidad que se mostrarán en el certificado a crear. Para agregar los datos ingresados presionamos el botón Add.
Ingresamos vía ssh al servidor y editamos el archivo /opt/ejbca/bin/batchtool.properties agregamos la siguiente línea:keys.spec=4096
Luego digitamos los siguientes comandos:# cd /opt/ejbca/# bin/ejbca.sh batch
Ejecutados los comandos anteriores en el directorio /opt/ejbca/p12 se creará el archivo ejbca.jks que contiene la clave pública y privada del servidor ejbca.
Creación de los Roles de Acceso a la Interfaz de Administración de la Entidad de Certificación
Los Roles que se creará para ingresar a la interfaz de administración de EJBCA son los siguientes:
Administrador PKI: Tendrá acceso total a la interfaz de Adminsitración. Administrador CA: Tendrá acceso a las funciones de Adminstración de la CA. Administrador RA: Tendrá acceso a las funciones de Adminstración de la RA. Operador RA: Tendrá acceso unicamente a la opción de registro de entidades
Finales.Para la creación de los roles detallados anteriormente seguimos el siguiente procedimiento:
Ingresamos a la interfaz de administración de EJBCA y seleccionamos la opción Editar Privilegios de Administrador.
En la interfaz mostrada sleccionamos la opción Agregar y a continuación especificamos
26Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
el Rol a crear tal como se muestra en la siguiente imagen:
Finalmente presionamos el botón OK con el cual rol ingresado se creará satisfactoriamente
A continuación procedemos a crear cada uno de los usuarios que formarán parte de los roles creados anteriormente para lo cual primero procedemos a crear el Perfil de Certificado y de Entidad Final para dichos usuarios tal como se muestra a continuación:
Creación del Perfil de Certificado Perfil Administrador
Ingresamos a la interfaz de administración de EJBCA y en el menú lateral izquierdo seleccionamos la opción Editar Perfiles de Certificación y visualizándose la siguiente ventana:
Creamos el perfil Perfil Administradores utilizando como plantilla ENDUSER. A continuación seleccionamos el perfil creado y presionamos el botón Edit Certificate Profiles mostrándose la siguiente pantalla:
27Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
En la interfaz mostrada anteriormente especificamos los siguientes parámetros:
Type: End Entity Avalable bit lengths: 1024,1536, 2048bits Signature Algorithm: SHA512WithRSA Validity or end date of the certificate: 10y
A continuación en la opción uso de clave debemos seleccionar los usos que se darán al certificado, marcando:
Firma Digital No-repudio Cifrado de clave
Además en la opción uso de clave extendida seleccionar: Autenticación de Cliente
En el menú CAs disponibles seleccionamos Autoridad de Certificación Subordinada y el
28Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Publicador configurado anteriormente.
Finalmente guardamos los cambios realizados presionando el botón Grabar.
CREACIÓN DEL PERFIL DE CERTIFICADO PERFIL OPERADOR
Ingresamos a la interfaz de administración de EJBCA y en el menú lateral izquierdo seleccionamos la opción Editar Perfiles de Certificación y visualizándose la siguiente ventana:
Creamos el perfil Perfil Administradores utilizando como plantilla ENDUSER. A continuación seleccionamos el perfil creado y presionamos el botón Edit Certificate Profiles mostrándose la siguiente pantalla:
29Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
En la interfaz mostrada anteriormente especificamos los siguientes parámetros: Type: End Entity Avalable bit lengths: 1024,1536 bits Signature Algorithm: SHA256WithRSA Validity or end date of the certificate: 10y
A continuación en la opción uso de clave debemos seleccionar los usos que se darán al certificado, marcando:
Firma Digital No-repudio Cifrado de clave
Además en la opción uso de clave extendida seleccionar: Autenticación de Cliente y Email Protection.
En el menú CAs disponibles seleccionamos Autoridad de Certificación Subordinada y el Publicador configurado anteriormente.
30Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Finalmente guardamos los cambios realizados presionando el botón Grabar.
Creación del Perfil de Entidad Final Perfil AdministradoresIngresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la opción Edit Certificate End Entity y procedemos a crear el perfil PerfilAdminsitradores. A continuación seleccionamos el perfil creado y presionamos el botón Edit Certificate Profiles mostrándose la siguiente pantalla:
En la interfaz anterior especificamos los siguientes parámetros:
Minimun Password Strenght: 60 Email Domain: dominio.com.ec. Selecionamos las opciones Use y Required.
Agregamos al Perfil los siguietes atributos: Cn,Comomon Name UID,Unique Identifier OU,Organization Unit O,Organization
31Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
C,Counttry
Los atributos seleccionados se muestran en la siguiente interfaz:
Cabe mencionar que los atributos agregados enteriormente son los datos de la entidad que se mostrarán en el Certificado Digital.
A continuación seleccionamos los siguientes opciones:
Perfil de Certificado: PerfilAdministradores CA disponibles: CA Subordinada Tipos de Token a Generar: User Generate P12, JKS, PEM
Finalmente guardamos los cambios realizados presionando el botón Add.
CREACIÓN DEL PERFIL DE ENTIDAD FINAL PARA EL OPERADOR
Ingresamos a la interfaz de la entidad de certificacion subordinada y seleccionamos la
32Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
opción Edit Certificate End Entity y procedemos a crear el perfil PerfilAdminsitradores. . A continuación seleccionamos el perfil creado y presionamos el botón Edit Certificate Profiles mostrándose la siguiente pantalla:
En la interfaz anterior especificamos los siguientes parámetros:
Minimun Password Strenght: 60 Email Domain: dominio.com.ec. Selecionamos las opciones Use y Required.
Agregamos al Perfil los siguietes atributos: Cn,Comomon Name UID,Unique Identifier OU,Organization Unit O,Organization C,Counttry
Los atributos seleccionados se muestran en la siguiente interfaz:
Cabe mencionar que los atributos agregados enteriormente son los datos de la entidad
33Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
que se mostrarán en el Certificado Digital.
A continuación seleccionamos los siguientes opciones:
Perfil de Certificado: PerfilOperadores CA disponibles: CA Subordinada Tipos de Token a Generar: User Generate P12, JKS, PEM
CREACIÓN DEL CERTIFICADO DEL ADMINISTRADOR DE LA PKI
Ingresamos a la interfaz de Administración de EJBCA y procedemos a seleccionar la opción Add Entity visualizándose la siguiente interfaz:
En la interfaz anterior seleccionamos el perfil de certificado creado anterioremente asi como el el perfil de entidad esto es Perfil Administradores. A continución ingresamos los datos de la entidad que se mostrarán en el certificado a crear. Para agregar los datos
34Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
ingresados presionamos el botón Add.
A continuación Ingresamos a la Interfaz pública y selecionamos la opción Generate KeyStore visualizándose la siguiente interfaz:
A continuación ingresamos el usuario y el password especificados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizará la siguiente interfaz:
En la Interfaz anterior seleccionamos el tamaño de la llave 1024 o 1536 bits y finalmente presionamos el boton OK con lo cual se procederá a emitir el Keystore.
CREACIÓN DEL CERTIFICADO DE ADMINISTRADOR DE LA CA
Ingresamos a la interfaz de Administración de EJBCA y procedemos a seleccionar la opción Add Entity visualizándose la siguiente interfaz:
35Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
En la interfaz anterior seleccionamos el perfilde certificado creado anterioremente asi como el el perfil de entidad esto es Perfifil Administradores. A continución ingresamos los datos de la entidad que se mostrarán en el certificado a crear. Para agregar los datos ingresados presionamos el botón Add.
A continuación ingresamos a la Interfaz pública y selecionamos la opcóon Generate KeyStore visualizándose la siguiente pantalla:
A continuación ingresamos el usuario y el password especificados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizará la siguiente interfaz:
36Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
En la Interfaz anterior seleccionamos el tamño de la llave 1024 o 1536 bits y finalmente presionamos el botón OK con lo cual se procederá a emitir el Keystore tal como se muestra a continuación:
CREACIÒN DEL CERTIFICADO DE ADMINISTRADOR DE LA RA
Ingresamos a la interfaz de Administración de EJBCA y procedemos a seleccionar la opción Add Entity visualizándose la siguiente interfaz:
37Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
En la interfaz anterior seleccionamos el perfilde certificado creado anterioremente asi como el el perfil de entidad esto es Perfifil Administradores. A continución ingresamos los datos de la entidad que se mostrarán en el certificado a crear. Para agregar los datos ingresados presionamos el botón Add.
A continuación Ingresamos a la Interfaz pública y selecionamos la opcion Generate KeyStore visualizándose la siguiente pantalla:
A continuación ingresamos el usuario y el password especificados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizará la siguiente interfaz:
38Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
En la interfaz anterior seleccionamos el tamño de la llave 1024 o 1536 bits y finalmente presionamos el botón OK con lo cual se procederá a emitir el Keystore tal como se muestra a continuación:
39Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
CREACIÓN DEL CERTIFICADO DEL OPERADOR DE LA RA
Ingresamos a la interfaz de Administración de EJBCA y procedemos a seleccionar la opción Add Entity visualizándose la siguiente interfaz:
En la interfaz anterior seleccionamos el perfil de certificado creado anterioremente asi como el el perfil de entidad esto es Perfil Administradores. A continución ingresamos los datos de la entidad que se mostrarán en el certificado a crear. Para agregar los datos ingresados presionamos el botón Add.
A continuación ingresamos a la Interfaz pública y selecionamos la opcion Generate KeyStore visualizándose la siguiente pantalla:
A continuación ingresamos el usuario y el password especificados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizará la siguiente interfaz:
40Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
En la Interfaz anterior seleccionamos el tamño de la llave 1024 o 1536 bits y finalmente presionamos el boton OK con lo cual se procederá a emitir el Keystore tal como se muestra a continuación:
ASIGNACIÓN DE LOS USUARIOS A LOS ROLES DE ADMINISTRACIÓN.
Administrador de la CA
Agregamos el usuario administrador CA en base al número serial del certificado para lo cual previamente seleccionamos el Rol Administrador de la CA tal como se muestra a continuación:
A continuación asignamos los permisos para el rol Administrador de la CA tal como se muestra a continuación:
41Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Administrador de la RA
Agregamos el usuario administradorca en base al numero serial del certificado para lo cual previamente seleccionamos el Rol Administrador de la RA tal como se muestra a continuación:
Al usuario anterior le asignamos permisos de administrador de la RA al como se muestra a continuación:
42Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Operador de la RA
Agregamos el usuario operadorra en base al numero serial del certificado para lo cual previamente seleccionamos el Rol Operador de la RA tal como se muestra a continuación:
43Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Al usuario anterior le asignamos permisos de administrador de la RA al como se muestra a continuación:
RENOVACIÓN DEL KEYSTORE DEL SERVIDOR
Para realizar la renovación del Keystore del servidor nos ubicamos en el directorio /opt/ejbca y ejcutamos los siguientes comandos:
#bin/ejbca.sh ca getrootcert 'Nombre CA' casubordinada.pem #openssl x509 -in casubordinada.pem -out casubordinada.der -outform DER #keytool -importcert -alias casubordinada -file casubordinada.der -keystore
p12/truststore_new.jks
Al digitar el comando anterior se pedirá especificar el password para el Nuevo keystore en el cual se debe especificarse el mismo password puesto en el archivo de configuración web.properties en la opción java.trustpassword.
44Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
A continuación procedemos a detener el servidor Jboss y a ejecutar los siguientes comandos:
#cp ejbca.jks /opt/jboss/server/ejbca/conf/keystore/keystore.jks #cp truststore_new.jks /opt/jboss/server/ejbca/conf/keystore/truststore.jks
CREACIÓN DE LOS PERFILES DE CERTIFICADO PARA LOS USUARIOS FINALES
Ingresamos a la interfaz de la entidad de certificación subordinada y seleccionamos la opción Edit Certificate Profiles y procedemos a crear el perfil del certificado PerfilUsuarios utilizando la plantilla EndUser. Una vez creado el perfil procedemos a seleccionarlo y editarlo presionando el botón Edit Certificate Profile, mostrándose la siguiente pantalla.
En la interfaz mostrada anteriormente configurar lo siguiente: Type: End Entity Avalable bit lengths: 1024, 1536, 2048 bits Signature Algorithm: SHA512WithRSA Validity or end date of the certificate: 7y
Dentro de las Opciones Key Usage seleccionar: Digital signature Non-Repudiation Key certificate sign
Además dentro de las opciones de Extended Key Usage seleccionar Client Authentication y Email Protection.
45Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Seleccionar la opción Use de CRL Distribution Point y Authority Information Access.
Seleccionamos el Publishers LDAP creado anteriormente LDAPFAE. Approval Settings: Add/Edit End Entity Número of Required Approvals: Número de aprovaciones requeridas para
emisión del certificado.
46Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Presionamos el botón guardar.
CREACIÓN DEL PERFIL DE USUARIO FINAL
Para la creación del perfil de Usuario Final seleccionamos del menú lateral izquierdo Edit End Entity Profile y procedemos a crear el perfil PerfilUsuarios. Una vez creado el perfil procedemos a seleccionarlo y editarlo presionando el botón Edit End Entity Profile, mostrándose la siguiente pantalla.
Dentro de la ventana mostrada configuramos las opciones que el usuario final deberá llenar para la generación del certificado como las siguientes opciones:
Username Password: Required, Podemos establecer además la combinacion de caracteres
utilizada y la longitud del mismo, por defecto 8. E-mail domain: dominio.com.ec Atributos DN:
o Subject DN Attributeso CN, Common nameo UID, Unique Identifiero OU, Organizational Unito givenName, Given name(first name)o Surname, Surname (last name)o title, Titleo O, Organizationalo C, Country
De las opciones anteriores adicionalemente podemos definir si se desea que dichos parámetros sean requeridos y/o modificables.
47Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Adicionalemnte verificamos las sigueitnes opciones:
Available Certificate Profiles: PerfilUsuarios Default CA: CA Subordinada FAE Default Token: P12 file Available Tokens: USer Generated, P12 file, JKS File, PEM file
Configuración de Notificaciones
Para configurar las respectivas notificaciones en funciones de los diferentes estados activamos la opción Send Notification y configuramos las opciones que se indican a continuación:
Notificaciones de estado Notification Sender: [email protected] NotificationEvents: StatusinProcess Notification Subject: Texto del asunto de la notificación Notification Message: Texto del mensaje de notificación
48Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Notificación de Aprobación de Solicitud Notification Sender: [email protected] NotificationEvents: StatusGenerated Notification Subject: Texto del asunto de la notificación Notification Message: Texto del mensaje de notificación
Notificación de Certificado Generado Notification Sender: [email protected] NotificationEvents: StatusinProcess Notification Subject: Texto del asunto de la notificación Notification Message: Texto del mensaje de notificación
49Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Finalmente presionamos el botón guardar.
CREACIÓN DEL CERTIFICADO DE USUARIO ADMINISTRADOR
Para la creación del certificado del usuario Administrador seguimos los siguientes pasos:
En la interfaz de Administración seleccionamos Agregar Entidad Final y se muestra la pantalla que se indica a continuación, dentro de la cual debemos configurar lo siguiente:
Perfil de Entidad Final: PerfilOperador Nombre de Usuario: useradmin Password: Passwordadmin Confirmar Password: Passwordadmin email: [email protected] CN, Nombre Común: Usuario Administrador UID, Id Único: useradmin, este nombre es igual al Nombre de Usuario OU, Unidad Organizacional: Usuarios O, Organización: Fuerzas Armadas C, País: Ecuador Perfil del Certificado: PerfilOperador CA: CA Subordinada FAE Token: Archivo P12
50Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Posteriormente ingresamos a la interfaz pública de EJBCA ingresando la contraseña asignada y procedemos a generar el keystore con el perfil de operador, definiendo la longitud de la clave.
CREACIÓN DEL GRUPO OPERADORES
Para la creación del grupo operadores ingresamos a la interfaz de administración con el usuario Administrador CA y seleccionamos del menú lateral izquierdo Edit Administrator Privileges y presionamos Add, mostrándonos un cuadro de texto para agregar el nuevo grupo.
51Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Agregamos el usuario useradmin a este grupo basado en el número serial del certificado:
Al usuario anterior le agregamos los siguientes permisos: Role: RA Administrators Authorized CAs: CA Subordinada FAE End Entity Rules: Create End Entities
52Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Edit End Entity Profiles: PerfilUsuarios, Perfil OperadorOther Rules: View Logs
Finalmente presionamos el botón guardar.
EMISIÓN DE CERTIFICADOS PARA LOS USUARIOS FINALES
Para la emisión de certificados para los usuarios finales, primero importamos el Certificado del usuario useradmin al Navegador de la siguiente manera:
Dentro de las opciones del Navegador seleccionamos la opción de encripción y presionamos el botón ver certificados. Dentro de esta opción nos permite importar certificados, para ello buscamos el certificado a importar y seleccionamos abrir como se muestra a continuación:
53Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
A continuación ingresamos el respectivo pasprase y presionamos ok.
Con ello el certificado se importará satisfactoriamente al navegador tal como se muestra a continuación:
54Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Posteriormente ingresamos a la interfaz de administración autenticándonos con el certificado importando anteriormente como se muestra en la figura:
Una vez que nos logueamos correctamente se visualizará la siguiente interfaz:
Para agregar un Entidad Final seleccionamos la opción Agregar Entidad Final del menú lateral izquierdo y se mostrará la ventana que se muestra a continuación.
Dentro de la ventana mostrada de deberán agregar los datos del usuario como se indica
55Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
a continuación:
Adicionalamente selecccionamos la opción Enviar Notificación y presionamos el botón agregar.
Una vez ingresados los datos se visualizará un mensaje indicando que se enviado la solicitud para su aprobación.
En el caso de haber elegido la aprobación por niveles de la solicitud, en función de los mismos se realizará lo siguiente:
Ingresamos a la interfaz de administración logueandonos con el usuario Administrador de la RA, como se muestra a continuación:
56Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
En la interfaz visualizada seleccionamos la opción Apobar Acciones mostrándose la siguiente pantalla:
Seleccionamos la opción Add End Entity visualizándose la siguiente interfaz:
A continuación agregamos un comentario y luego presionamos el botón Aprove y luego
57Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
presionamos el botón OK
Con ello la solicitud para la emisión del certificado habra sido aprobada tal como se muestra a continuación:
Concluído el proceso de Aprovación ingresamos a la Interfaz pública y selecionamos la opción Generate KeyStore como se indica en la siguiente pantalla.
58Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
En la pantalla mostrada el usuario deberá ingresar el usuario y el password ingresados en el proceso de registro de datos. Si se ingresaron correctamente los datos se visualizará la siguiente interfaz:
En la Interfaz anterior seleccionamos el tamño de la llave 1024 o 1536 bits y finalmente presionamos el boton OK con lo cual se procederá a emitir el Keystore del usuario tal como se muestra a continuación:
59Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]
Este keystore se almacenará en el directorio de Descargas configurado en la PC del usuario y el mismo es el que se empleará para firmar y cifrar el correo.
Dicho archivo será entregado al usuario en un dispositivo de almacenamiento externo, luego de lo cual el archivo generado en el equipo del Administrador deberá ser borrado por completo.
60Dirección: Abelardo Moncayo OE4-08 y Av. América, 3er piso - Quito.Telf: (593-2) 2 242-241
www.redsoluciones.net – [email protected]