md.
在公司试用期两个月,一眨眼就要过去了,接触的新东西太多,一直摸着石头过河。快要考核了,赶紧梳理下。
CA: 分为 Server 和 Admin 两端,一个Web项目,运行在 CentOS 的 jdk32上。一个应用程序,运行在 win端。
Server 初始化之后,导入licence许可证,然后激活,就可以了。初始化之后会产生 SA 和 AA 两个管理员。
在Admin上,插上 USBKey,通过 配置连接CA-Server,通过两码下载 SA 和 AA的证书,之后通过 SA 或 AA 登录CA,开始构建 CA管理员家族。包括 BA、BO、RA。
RA:是一个 API,目前我看到的 是一个 demo+API,运行在 win 下的。通过eclipse 可以启动,需要配置index.jsp。
配置过程需要配置证书:ra.cer 的证书。ra.cer的证书 是通过genCSR.sh产生一个p10,再通过 CA-Admin的 BA 创建的RA用户,使用p10请求一个p7,p7保存为一个ra证书。
配置需要 : ra证书、公钥、私钥、口令等,然后就可以启动了,启动之后,进行用户注册。
如果遇到 没有权限,说明RA没有注册用户的权限,需要使用 Admin 的BA登录CA,对RA进行授权。
如果遇到 验证密钥错误,可根据错误号查询,也可以开启打印跟踪日志,看看debug,我遇到过两次,一次是配置信息错误或者是有tomcat的缓存原因,不太清楚。第二次,重新重新构建了一个 RADS,直接配置运行,没问题。
RA可以注册用户之后,进行证书下载,需要注意ra的证书模板,如果ca没有配置kmc,只能下载 单证,如果ra的证书模板是双证,是会失败的,但是没有提示信息,所以需要再去CA的BA登录Admin,对RA的进行单证模板授权。这样就可以了。
KMC:也是 Server-Admin。Server 是一个Linux的项目,密钥管理。Admin 是一个win的桌面程序。
KMC服务的搭建需要连接数据库, CA的根证书 和 SA 和 AA的证书,然后就是秘钥持有者操作了。
KMC完成之后,通过 USBKey 的 BO 证书登录CA-Admin,通过用户注册,注册 kmc 的管理员,并下载其证书,保存在本地。
使用USBKey 的SA登录 KMC-Admin, 创建 BA,并将之前下载的证书绑定到 BA上,就完成了 KMC的管理员注册。
如果需要 在另一个key中注册 审核者,通过 CA-Admin的用户注册,下载证书就可以了,下载的时候,选择 USBKey,之后通过SA 连接 KMC-Admin,完成 kmc-BA的注册,并绑定证书。
完全重新搭建整个产品线:
NetCertCA-Server:
1. 使用脚本启动,使用IP+Port 登录 Web Console 。
2. 连接已准备好的数据库,配置CA,CRL,等。
3. 获得 sa 和 aa 的两码。
4. 导入 licence 许可证,许可证只跟 虚拟机系统有关,只要不换系统,可以接着用。
5. 激活CA服务。
NetCertCA-Admin:
1. 安装客户端软件,下载 sa 和 aa 的证书。
2. 通过Admin 登录CA,创建 BA 、BO 、并下载证书。
NetCert-Demo(RADS):
1. 将项目导入 eclispe,导入jar包。
2. 通过 CA-Server的genCSR.sh脚本 ,生成一个 p10证书请求,csr、pri、pub。
3. 通过 CA-Admin的 BA 连接 CA,创建一个 RA,并使用 csr下载 证书,到本地。
4. 配置index.jsp中的 IP地址,密钥路径(注意加文件名不加后缀) ,证书路径(文件名加路径),口令,等。
5. 启动项目到 Tomcat,进行用户注册测试,如果权限不够,是因为 RA没有模板权限,如果密钥错误,是配置问题。
6. 注册完成之后,查询用户,证书下载,选择一个单证模板,例如 ee_sign 。获取两码。
7. 通过证书下载,选择 SM2,单证,输入两码,通过USBKey下载,需要IE浏览器。
8. 完成单证下载,签名证书自动进入 USBKey。
NetCert-KMC-Server:
1. 准备好 ca根证书,通过 CA-Server的cert文件夹中,获取。
2. 准备好 sa 、aa 证书,通过 证书管理工具,导出。
3. 通过start.sh脚本 启动 kmc,配置ca sa aa 证书,秘密持有者,等,完成初始化。获取 两个CSR。
4. 使用 CA的 BO 获取 身份证书 和 通讯证书,分别使用不同的模板,secure_comm 和 secure_comm_enc 模板。获取到p7.
5. 双击p7,选择证书,所有任务,导出,获取两个证书。分别是 kmc的身份证书 和 kmc的通讯证书。
6. 重启 KMC-Server,并将证书上传到 KMC-Server上,完成配置。再次重启。
7. 通过 CA-Admin,的BO登录,创建管理员,申请证书。
8. 通过 证书管理工具,将管理员证书导出,在 KMC-Admin,登录SA管理员,创建 BA 、BO 并将证书与用户连接起来。这样在KMC-Admin使用证书登录时,KMC就已经存在此证书的对应用户,所以是可以登录的。
结果使用 CA-Admin 的BO连接CA,注册用户,下载双证书,出现 KMC身份证书不受信任。结果 是 KMC 和 CA的通信证书不一致。
关于 KMC 和 CA之间的证书关系,搞了好久,最后发现文档里写的很清楚,真的是没劲。
回家之后梳理下:
CA中需要配置 KMC的信息,有 信任证书 和 身份证书DN,其中 信任证书: CA的根证书 ,身份证书DN :KMC的身份证书主题
KMC在服务搭建时,需要写 信任CA证书: CA的根证书,也就是签发KMC管理员的证书,
KMC在添加CA的时候,需要填 :CA根证书,和 身份证书DN:也就是 caId 的证书的主题。
至此就完成了 CA 和 KMC 的配置。至于是怎么个原理,还不清楚。
CA-Admin 在申请用户双证的时候,将用户信息发送给 CA-Server,Server 签发签名证书,然后请求KMC 分配加密密钥,通过KMC配置的身份证书DN与KMC进行通信,KMC也通过caId的身份证书DN与CA通信。
.....x
然后看看Linux的知识点。