Professional Documents
Culture Documents
EJBCA
PKI Open Source
Manuel dinstallation et de configuration
Version 1.0.0
_________________________________________________________________________________________________________________
http://www.auditiel.fr/docs/EJBCAInstallation.pdf
Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1
Auditiel
EJBCA
_________________________________________________________________________________________________________________
1 SOMMAIRE
1Sommaire.................................................................................................................................. 2
2Introduction............................................................................................................................... 3
2.1Pr requis............................................................................................................................3
2.2Versions............................................................................................................................. 3
2.3Glossaire.............................................................................................................................3
3Installation.................................................................................................................................4
3.1Composants ncessaires..................................................................................................... 4
3.2Systme dexploitation.......................................................................................................4
3.3Installation en production...................................................................................................4
3.4Procdure dinstallation..................................................................................................... 4
3.5Installation de la base MySQL...........................................................................................5
3.6Scurisation de linstallation.............................................................................................. 7
4Configuration Initiale................................................................................................................ 8
4.1Premire CA.......................................................................................................................8
5Configuration de TEST............................................................................................................. 9
5.1Prsentation........................................................................................................................ 9
5.2Connexion au module dadministration........................................................................... 10
5.3Configuration du systme................................................................................................ 11
5.4Cration des interfaces de publication............................................................................. 12
5.5Cration de la CA subordonne....................................................................................... 14
5.6Cration du modle de certificat...................................................................................... 15
5.7Cration des profils.......................................................................................................... 16
5.8Cration dun utilisateur...................................................................................................18
5.9Gnration du certificat....................................................................................................18
5.10Cration des groupes dadministration.......................................................................... 20
_________________________________________________________________________________________________________________
Version 1.0.0
2/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
2 INTRODUCTION
2.1 Pr requis
Ce document sadresse aux personnes dsirant installer une PKI dentreprise. Il
est ncessaire davoir un minimum de connaissance sur le fonctionnement des
PKI et sur lutilisation des certificats.
2.2 Versions
Version
1.0.0
Date
Auteur
22/02/2007
Jrme DUSAUTOIS
Modification
Cration
2.3 Glossaire
CA : Autorit de certification.
CA Root : Autorit de certification racine. Cette autorit est signe par ellemme (auto-signe). Aucune autre autorit ne se porte garante de sa validit.
SubCA : Sous autorit de certification, dpend dune autre sous autorit ou
dune autorit racine.
RA : Autorit denregistrement. Prend en charge linscription des utilisateurs
finals et lenregistrement des demandes de certificats.
JAVA : Langage de programmation multi plateforme.
JDK : Outils de dveloppement des applications JAVA, pour une plateforme
donne.
JBOSS : Serveur dapplications en JAVA.
EJBCA : PKI Open Source en JAVA, base sur le serveur dapplications
JBOSS.
_________________________________________________________________________________________________________________
Version 1.0.0
3/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
3 INSTALLATION
3.1 Composants ncessaires
Linstallation et lutilisation dEJBCA ncessitent le chargement de plusieurs
composants. Voici un tableau des composants charger, ainsi que ladresse
Internet o vous les trouverez.
Modules
Version
Adresse
EJBCA
3.4.1
www.ejbca.org
Serveur JBOSS
4.0.4
labs.jboss.com
Installeur ANT
1.7.0
jakarta.apache.org/ant/
JDK SUN
1.5
java.sun.com/j2se/1.5.0/download.js
p
JCE Policy
1.5.0
java.sun.com/j2se/1.5.0/download.js
p
MySQL (optionnel)
5.0
www-fr.mysql.com
5.0.4
www-fr.mysql.com
rpertoires
Apache-ant-1.7.0-bin,
JBoss-4.0.4.GA,
et EJBCA_3_4_1 dans le rpertoire dinstallation
_________________________________________________________________________________________________________________
Version 1.0.0
4/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
rpertoire
9. Ouvrir une autre session de commande dans repinstall\jboss4.0.4.GA\bin et lancer la commande run, pour activer le serveur JBOSS
10. Dans la session de commande EJBCA, lancer ant install. Entrer le nom
de DN et les mots de passe demands.
11. Arrter le serveur JBOSS par Ctrl+C
12. Dans la session de commande EJBCA, lancer ant deploy
13. Importer le p12 superadmin.p12 du rpertoire repinstall\jbca_3_4_1\p12
dans le magasin Windows.
14. Relancer le serveur JBOSS (run).
15. Connectez-vous avec le browser ladresse http://localhost:8080/ejbca.
Le choix Administration permet daccder linterface WEB
dadministration.
16. Noubliez pas de sauvegarder et supprimer le fichier ejbca.properties du
rpertoire ejbca_3_4_1\conf. Ce fichier contient les mots de passes des
magasins de cls.
Version 1.0.0
5/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
toujours
lancer
le
configurateur
par
la
commande
MySQLInstanceConfig.exe dans le rpertoire bin dinstallation de
MySQL.
4. Choisissez la configuration dtaille.
5. Indiquez quil sagit dune machine serveur.
6. Slectionnez base de donnes transactionnelle uniquement.
7. Changez ventuellement le chemin dinstallation des bases.
8. Laissez le choix par dfaut pour le nombre de connexions concurrentes.
9. Autorisez les connexions TCP/IP, mais pas pour ladministration.
10. Slectionnez le support multi langues (UTF8).
11. Slectionnez lactivation en tant que service Windows ainsi que lajout
dans le PATH du chemin daccs au rpertoire BIN.
12. Modifiez le mot de passe root avec une valeur complexe.
13. Excutez la configuration. Il se peut quun message derreur apparaisse,
slectionnez le bouton Retry et tout doit fonctionner. MySQL est prt et
actif.
14. Recopiez le fichier MySQL-connector-java.5.0.4-bin.jar, extrait du zip
MysSQL-Connector-java,
dans
le
rpertoire
JBOSS4.0.4.GA\server\default\lib.
15. Copiez
le
fichier
conf/database.properties.sample
en
conf/database.properties dans le rpertoire ejbca_3_4_1\conf. Editez le
fichier et enlevez les commentaires sur les lignes concernant la base de
donnes MySQL (database.name, datasource.mapping, database.url,
database.driver). Modifiez galement le nom dutilisateur et le mot de
passe associ (database.username, database.password). Le nom
dutilisateur et le mot de passe sont crs dans le point suivant.
16. Lancez une session de commande et tapez les commandes suivantes.
Mysqladmin uroot ppasswordroot create ejbca
Mysql uroot ppasswordroot MySQL
grant all on ejbca.* to username@localhost identified by password
quit
O
Root et passwordroot correspondent lidentifiant et au mot de passe de
lutilisateur principal de la base de donnes.
Et
Username@localhost et password correspondent lidentifiant et au mot de
passe inscrits dans le fichier database.properties respectivement dans les
champs database.username et database.password.
_________________________________________________________________________________________________________________
Version 1.0.0
6/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
_________________________________________________________________________________________________________________
Version 1.0.0
7/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
4 CONFIGURATION INITIALE
4.1 Premire CA
La premire CA Root a t cre lors de linstallation. Cette CA peut servir pour
la production, si les informations ont bien t modifies dans le fichier
ejbca.properties avant linstallation dEJBCA.
Elle peut galement ne pas tre utilise pour la production si, par exemple, la
CA de production dpend dune autre CA.
Dans tous les cas, la CA cre lors de linstallation sert authentifier le super
administrateur.
Si pour une raison propre lorganisation, une autre CA Root devait tre utilise
pour gnrer les certificats dauthentification pour ladministration dEJBCA,
alors le certificat de lautorit devrait tre ajout aux certificats reconnus par la
JRE de SUN, dans le magasin cacerts qui se trouve dans le rpertoire
RepInstall\jdk1.5.0_11\jre\lib\security.
Les deux commandes suivantes permettent de rcuprer le certificat de la CA
Root et de limporter dans le magasin des autorits reconnues par la JRE.
Ejbca ca getrootcert NomCA nomfichierca.crt der
Keytool import trustcacerts alias NomCA keystore NomKeyStore storepass
MotDePasse file NomFichierCA.crt
_________________________________________________________________________________________________________________
Version 1.0.0
8/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
5 CONFIGURATION DE TEST
5.1 Prsentation
Ce chapitre traite de la configuration dEJBCA pour une PKI comportant une CA
Root, une CA mettrice et une RA.
Avant de configurer la PKI, il est indispensable de bien spcifier lensemble des
modules crer (CA, SousCA, Publication, RA). Il faut galement dfinir les
groupes dadministrateurs pour chacun des modules. Nhsitez pas donner
des noms les plus explicites possibles pour les diffrents modules de la PKI. La
comprhension nen sera que meilleure.
Les administrateurs peuvent faire partie de la CA de production, ou une CA
spcifique (par exemple, celle cre lors de linstallation). Cette dernire ne
sera utilise que pour ladministration. Dans notre exemple, les administrateurs
font partie de la CA de production. La CA Root est cre lors de linstallation.
CA Root
CA
mettrice
RA
_________________________________________________________________________________________________________________
Version 1.0.0
9/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
serveur
JBOSS
ladresse
_________________________________________________________________________________________________________________
Version 1.0.0
10/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
Titre de lapplication.
La langue daffichage.
_________________________________________________________________________________________________________________
Version 1.0.0
11/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
_________________________________________________________________________________________________________________
Version 1.0.0
12/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
_________________________________________________________________________________________________________________
Version 1.0.0
13/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
Version 1.0.0
14/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
_________________________________________________________________________________________________________________
Version 1.0.0
15/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
Version 1.0.0
16/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
Le format de gnration du certificat peut tre dfini. Les choix possible sont
User Generated . Dans ce cas, les cls sont gnres par lutilisateur. Si ce
format est choisi, il ne peut pas y avoir de recouvrement. Les autres choix
correspondent des formats de fichiers contenant les cls et le certificat.
Un mail peut tre envoy lutilisateur final, pour lui signifier que sa demande
de certificat est accepte. Attention, ladresse mail du destinataire est extraite
du certificat. Il est donc obligatoire de dfinir le champ dadresse mail dans le
profil (Alternate Subject Name, RFC822 Name).
Le texte du message peut contenir des squences spciales permettant de
transfrer des informations sur le compte en cours de cration.
Voici un exemple de message format pour signifier lautorisation de gnration
de certificat avec le mot de passe pour accder au compte. Ce texte est insr
dans le champ Notification Message .
PKI interne le ${DATE}
Voici le mot de passe associ votre demande de certificat ${NL}
Utilisateur : ${USERNAME}
Mot de passe : ${PASSWORD}
_________________________________________________________________________________________________________________
Version 1.0.0
17/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
Version 1.0.0
18/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
RootCAAdmin
EmetCAAdmin
RAAdmin
_________________________________________________________________________________________________________________
Version 1.0.0
19/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
_________________________________________________________________________________________________________________
Version 1.0.0
20/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
_________________________________________________________________________________________________________________
Version 1.0.0
21/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
_________________________________________________________________________________________________________________
Version 1.0.0
22/23
Auditiel
EJBCA
_________________________________________________________________________________________________________________
_________________________________________________________________________________________________________________
Version 1.0.0
23/23