Центр сертификации ejbca: различия между версиями

Вводная информация:

Ejbca это наш внутренний центр сертификации работающий на docker

Доменное имя: ejbca.gk-rte.ru

Ссылка на вход : https://ejbca.gk-rte.ru/ejbca/adminweb/

На данный момент у нас есть один корневой сертификат RootCS который используется для gk-rte

И подписанный сертификат для доменных имён :

portal.gk-rte.ru

portal-ob.gk-rte

portals4.gk-rte.ru

portal-ob2.gk-rte.ru

В данной инструкции создадим корневой сертификат для rpn-sfera . Так же публичный и приватный ключ для домена portal.rpn-sfera.ru.

Примечание : Все нужные сертификаты буду находится на cloud2.rpn-sfera.ru... И admin-files...

Настройка Crypto Tokens

На верхней панели нажимаем CA Function потом Crypto Tokens

фото1

Мы попадаем в Manage Crypto Tokens .

Нажимаем на Create new...

фото2

Далее пишем название нашего токена и вводим стандартный пароль t

фото3

Теперь в первой строке пишем signKey а во второй выбираем RSA 2048 и нажимаем Generate new key pair

Повторяем то же самое только в место singKey пишем encryptKey

Должно получиться вот так :

фото4

Создание и настройка корневого сертификата

На верхней панели нажимаем CA Function потом Certification Authorities

фото5

Мы попадаем в Manage Certification Authorities и пишем под Add CA название нашего будущего корневого сертификата ( в моём случае будет RootCaRPN ) и нажимаем на create...

фото6

Приступаем к настройке.

В Crypto Token ставим тот что мы создали выше ( у меня это MyRootRPN )

Фото7

Спускаемся ниже , нас интересует CA Certificate Data >> Subject DN и Validity

Subject DN где мы указываем информацию о нашем сертификате , организации и стране

Validity время действия сертификата

фото8

Нажимаем Save

Теперь создадим шаблон

Нажимаем на верхней панели RA Functions и End Entity Profiles

фото9

Под надписью Add End Entity Profile пишем название нашего профиля ( у меня это будет CA-rpn ) и нажимаем Add Profile

фото10

Теперь выбираем наш профиль и нажимаем Edit End Entity Profile

фото 11

Приступим к настройки профиля

В параметре Username ставим галку на Auto-generated , в параметре Password вводим стандартный пароль t и оставляем галку на Required , в параметре End Entity E-mail убираем галку на Use

фото12

Далее в параметре Subject DN Attributes нажимаем на стрелку в низ и выбираем нужные данные ( CN, С и O )

фото 13

В разделе Other Subject Attributes нас интересует Subject Alternative Name

Здесь выбираем DNS Name и нажимаем add. Можно сделать один сертификат на разное количество доменов , для этого нажимаем на add столько раз сколько нам нужно доменных имён

фотоdns

Переходим к параметрам Main Certificate Data

В параметре Default Certificate Profile выбираем SERVER , в Available Certificate Profiles можно так же поставить SERVER или при необходимости выделить профили которые могут вам пригодиться

В Default CA выбираем нужный нам коревой сертификат , у нас это будет RootCaRPN . В Available CAs выбираем тот же сертификат

Default Token выбираем по умолчанию PEM file а в Available Tokens выделаем всё кроме User Generated

фото14

Сохраняем наш профиль

Нажимаем на RA Web

фото15

Нажимаем на Make New Request

фото16

В Certificate Type выбираем CA-rpn и Key-pair generation выбираем By the CA

фото17