Auditiel

EJBCA
PKI Open Source
Manuel dinstallation et de configuration
Version 1.0.0

_________________________________________________________________________________________________________________
http://www.auditiel.fr/docs/EJBCAInstallation.pdf
Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Auditiel

EJBCA

_________________________________________________________________________________________________________________

1 SOMMAIRE
1Sommaire.................................................................................................................................. 2
2Introduction............................................................................................................................... 3
2.1Pr requis............................................................................................................................3
2.2Versions............................................................................................................................. 3
2.3Glossaire.............................................................................................................................3
3Installation.................................................................................................................................4
3.1Composants ncessaires..................................................................................................... 4
3.2Systme dexploitation.......................................................................................................4
3.3Installation en production...................................................................................................4
3.4Procdure dinstallation..................................................................................................... 4
3.5Installation de la base MySQL...........................................................................................5
3.6Scurisation de linstallation.............................................................................................. 7
4Configuration Initiale................................................................................................................ 8
4.1Premire CA.......................................................................................................................8
5Configuration de TEST............................................................................................................. 9
5.1Prsentation........................................................................................................................ 9
5.2Connexion au module dadministration........................................................................... 10
5.3Configuration du systme................................................................................................ 11
5.4Cration des interfaces de publication............................................................................. 12
5.5Cration de la CA subordonne....................................................................................... 14
5.6Cration du modle de certificat...................................................................................... 15
5.7Cration des profils.......................................................................................................... 16
5.8Cration dun utilisateur...................................................................................................18
5.9Gnration du certificat....................................................................................................18
5.10Cration des groupes dadministration.......................................................................... 20

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
2/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

2 INTRODUCTION
2.1 Pr requis
Ce document sadresse aux personnes dsirant installer une PKI dentreprise. Il
est ncessaire davoir un minimum de connaissance sur le fonctionnement des
PKI et sur lutilisation des certificats.

2.2 Versions
Version
1.0.0

Date

Auteur

22/02/2007

Jrme DUSAUTOIS

Modification
Cration

2.3 Glossaire
CA : Autorit de certification.
CA Root : Autorit de certification racine. Cette autorit est signe par ellemme (auto-signe). Aucune autre autorit ne se porte garante de sa validit.
SubCA : Sous autorit de certification, dpend dune autre sous autorit ou
dune autorit racine.
RA : Autorit denregistrement. Prend en charge linscription des utilisateurs
finals et lenregistrement des demandes de certificats.
JAVA : Langage de programmation multi plateforme.
JDK : Outils de dveloppement des applications JAVA, pour une plateforme
donne.
JBOSS : Serveur dapplications en JAVA.
EJBCA : PKI Open Source en JAVA, base sur le serveur dapplications
JBOSS.

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
3/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

3 INSTALLATION
3.1 Composants ncessaires
Linstallation et lutilisation dEJBCA ncessitent le chargement de plusieurs
composants. Voici un tableau des composants charger, ainsi que ladresse
Internet o vous les trouverez.
Modules

Version

Adresse

EJBCA

3.4.1

www.ejbca.org

Serveur JBOSS

4.0.4

labs.jboss.com

Installeur ANT

1.7.0

jakarta.apache.org/ant/

JDK SUN

1.5

java.sun.com/j2se/1.5.0/download.js
p

JCE Policy

1.5.0

java.sun.com/j2se/1.5.0/download.js
p

MySQL (optionnel)

5.0

www-fr.mysql.com

MySQL JAVA connector

5.0.4

www-fr.mysql.com

3.2 Systme dexploitation

EJBCA est une PKI ralise en JAVA. Tous les composants utiliss fonctionnent
en JAVA ou existent sur plusieurs plateformes.
Le fonctionnement dEJBCA est identique (sauf avis contraire), sur toutes les
plateformes.
La procdure dinstallation dcrite ici, est ralise sur une plateforme Windows.
Les commandes excutes sont donc des commandes CMD. Les mmes
commandes, avec lextension SH, existent pour Linux.

3.3 Installation en production

La base de donnes intgre JBOSS ne permet pas une exploitation
confortable long terme. En effet, Hypersonic est une base de donnes qui
charge ses tables en mmoire. Cette configuration ne peut pas fonctionner
longtemps en production.
Il est prfrable dutiliser une base SQL externe. JBOSS supporte les bases
suivantes : mySQL, PostgreSQL, Oracle, Sybase, SapDB, MSSQL.
Reportez-vous la partie .

3.4 Procdure dinstallation

Suivez les tapes ci-dessous pour raliser linstallation dEJBCA. Dans la suite
de la procdure, on considre que tous les composants ncessaires ont t
tlchargs.
1. Copier
les
JDK_1.5.0_11
repinstall.

rpertoires
Apache-ant-1.7.0-bin,
JBoss-4.0.4.GA,
et EJBCA_3_4_1 dans le rpertoire dinstallation

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
4/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

2. Si vous dsirez utiliser MySQL, cest le moment de suivre les tapes de

la partie suivante ().
3. Ajouter, dans la variable denvironnement PATH, le chemin aux
excutables de ant (repinstall\Apache-ant.1.7.0-bin\bin) et JAVA
(repinstall\JDK_1.5.0_11\bin).
4. Ajouter la variable denvironnement JAVA_HOME avec le chemin du
JDK. (repinstall\jdk.1.5.0_11).
5. Ajouter une variable denvironnement JBOSS_HOME avec le chemin
daccs JBOSS (repinstall\jboss-4.0.4.GA).
6. Copier les fichiers US_Export_Policy.jar et local_policy.jar du rpertoire
jce_policy-1.5.0 vers le rpertoire jdk_1.5.0_11\jre\lib\security
7. Copier le fichier conf/ejbca.properties.sample en conf/ejbca.properties et
le modifier si ncessaire (nom de la CA Root, taille des cls, mots de
passe, dure de validit, ). Modifier, dans ce mme fichier, les mots de
passe pour les magasins de cls CA, OCSP, CMS. Ce fichier devra tre
sauvegard en lieu sr et supprim du rpertoire aprs linstallation.
8. Ouvrir
une
session
de
commande
dans
le
repinstall\ejbca_3_4_1 et entrez la commande ant bootstrap

rpertoire

9. Ouvrir une autre session de commande dans repinstall\jboss4.0.4.GA\bin et lancer la commande run, pour activer le serveur JBOSS
10. Dans la session de commande EJBCA, lancer ant install. Entrer le nom
de DN et les mots de passe demands.
11. Arrter le serveur JBOSS par Ctrl+C
12. Dans la session de commande EJBCA, lancer ant deploy
13. Importer le p12 superadmin.p12 du rpertoire repinstall\jbca_3_4_1\p12
dans le magasin Windows.
14. Relancer le serveur JBOSS (run).
15. Connectez-vous avec le browser ladresse http://localhost:8080/ejbca.
Le choix Administration permet daccder linterface WEB
dadministration.
16. Noubliez pas de sauvegarder et supprimer le fichier ejbca.properties du
rpertoire ejbca_3_4_1\conf. Ce fichier contient les mots de passes des
magasins de cls.

3.5 Installation de la base MySQL

Ces tapes doivent tre ralises avant linstallation dEJBCA, mais aprs avoir
copi les fichiers dans le rpertoire dinstallation. Suivez les tapes ci-dessous.
1. Installez MySQL 5 en utilisant linstalleur. Slectionnez la configuration
typique.
2. Passez la phase denregistrement sur Internet.
3. Laissez actif le lancement de la configuration MySQL. Le configurateur
se lance automatiquement la fin de linstallation. Sinon, vous pouvez
_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
5/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

toujours
lancer
le
configurateur
par
la
commande
MySQLInstanceConfig.exe dans le rpertoire bin dinstallation de
MySQL.
4. Choisissez la configuration dtaille.
5. Indiquez quil sagit dune machine serveur.
6. Slectionnez base de donnes transactionnelle uniquement.
7. Changez ventuellement le chemin dinstallation des bases.
8. Laissez le choix par dfaut pour le nombre de connexions concurrentes.
9. Autorisez les connexions TCP/IP, mais pas pour ladministration.
10. Slectionnez le support multi langues (UTF8).
11. Slectionnez lactivation en tant que service Windows ainsi que lajout
dans le PATH du chemin daccs au rpertoire BIN.
12. Modifiez le mot de passe root avec une valeur complexe.
13. Excutez la configuration. Il se peut quun message derreur apparaisse,
slectionnez le bouton Retry et tout doit fonctionner. MySQL est prt et
actif.
14. Recopiez le fichier MySQL-connector-java.5.0.4-bin.jar, extrait du zip
MysSQL-Connector-java,
dans
le
rpertoire
JBOSS4.0.4.GA\server\default\lib.
15. Copiez
le
fichier
conf/database.properties.sample
en
conf/database.properties dans le rpertoire ejbca_3_4_1\conf. Editez le
fichier et enlevez les commentaires sur les lignes concernant la base de
donnes MySQL (database.name, datasource.mapping, database.url,
database.driver). Modifiez galement le nom dutilisateur et le mot de
passe associ (database.username, database.password). Le nom
dutilisateur et le mot de passe sont crs dans le point suivant.
16. Lancez une session de commande et tapez les commandes suivantes.
Mysqladmin uroot ppasswordroot create ejbca
Mysql uroot ppasswordroot MySQL
grant all on ejbca.* to username@localhost identified by password
quit

O
Root et passwordroot correspondent lidentifiant et au mot de passe de
lutilisateur principal de la base de donnes.
Et
Username@localhost et password correspondent lidentifiant et au mot de
passe inscrits dans le fichier database.properties respectivement dans les
champs database.username et database.password.

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
6/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

3.6 Scurisation de linstallation

Pour une installation en production, les points suivants doivent tre modifis :
1. Scurisez le serveur JBOSS en dsactivant les consoles dadministration
(JMX et WEB). Voici un lien sur un document qui explique la procdure :
http://wiki.jboss.org/wiki/Wiki.jsp?page=SecureTheJmxConsole
2. Supprimez les autorits reconnues dans le magasin cacerts de la jre de
SUN et ne laissez que le certificat de lautorit cr par EJBCA pour
ladministration. Pour cela, supprimez le fichier cacerts avant de lancer la
commande ANT Install.
3. Bloquez tous les ports par dfaut de JBOSS et ne laissez que les ports
https 8442 pour linterface publique et 8443 pour ladministration.
Attention, la CRL est, par dfaut, accessible sur le port http 8080.
4. Laissez laccs aux fichiers du serveur JBOSS uniquement au compte
utilis pour lancer le serveur. Mme remarque pour la base de donnes,
sil ne sagit pas de la base intgre JBOSS.
5. Vrifiez que les logs de la base de donnes soient dsactives.

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
7/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

4 CONFIGURATION INITIALE
4.1 Premire CA
La premire CA Root a t cre lors de linstallation. Cette CA peut servir pour
la production, si les informations ont bien t modifies dans le fichier
ejbca.properties avant linstallation dEJBCA.
Elle peut galement ne pas tre utilise pour la production si, par exemple, la
CA de production dpend dune autre CA.
Dans tous les cas, la CA cre lors de linstallation sert authentifier le super
administrateur.
Si pour une raison propre lorganisation, une autre CA Root devait tre utilise
pour gnrer les certificats dauthentification pour ladministration dEJBCA,
alors le certificat de lautorit devrait tre ajout aux certificats reconnus par la
JRE de SUN, dans le magasin cacerts qui se trouve dans le rpertoire
RepInstall\jdk1.5.0_11\jre\lib\security.
Les deux commandes suivantes permettent de rcuprer le certificat de la CA
Root et de limporter dans le magasin des autorits reconnues par la JRE.
Ejbca ca getrootcert NomCA nomfichierca.crt der
Keytool import trustcacerts alias NomCA keystore NomKeyStore storepass
MotDePasse file NomFichierCA.crt

Par dfaut, le mot de passe du magasin de certificats reconnus de la JRE de

SUN est changeit. Comme son nom lindique, ce mot de passe doit tre
chang.
Le fichier RepInstall\jdk1.5.0_11\jre\lib\security\cacerts est, par dfaut, le fichier
contenant les certificats reconnus (NomKeyStore).

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
8/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

5 CONFIGURATION DE TEST
5.1 Prsentation
Ce chapitre traite de la configuration dEJBCA pour une PKI comportant une CA
Root, une CA mettrice et une RA.
Avant de configurer la PKI, il est indispensable de bien spcifier lensemble des
modules crer (CA, SousCA, Publication, RA). Il faut galement dfinir les
groupes dadministrateurs pour chacun des modules. Nhsitez pas donner
des noms les plus explicites possibles pour les diffrents modules de la PKI. La
comprhension nen sera que meilleure.
Les administrateurs peuvent faire partie de la CA de production, ou une CA
spcifique (par exemple, celle cre lors de linstallation). Cette dernire ne
sera utilise que pour ladministration. Dans notre exemple, les administrateurs
font partie de la CA de production. La CA Root est cre lors de linstallation.

CA Root

CA
mettrice

RA

CA Root cre linstallation.

Nom: RootCA
Administrateur: RootCAAdmin
Pas de modle de certificat

SousCA cre par

ladministrateur RootCAAdmin
Nom: SousCAEmet
Administrateur: EmetCAAdmin
Publication de la CRL dans AD
Un modle de certificat avec
publication dans AD
RA cre par ladministrateur
SousCAEmet
Administrateur: RAAdmin
Un profil dutilisateurs finals

Remarque : Il ny a pas vraiment de module RA. La RA est cre lorsquun

groupe dadministrateurs a les autorisations de RA et quun profil dentit final
lui est associ.

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
9/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

5.2 Connexion au module dadministration

Connectez-vous
sur
le
http://nomduserveur:8080/ejbca.

serveur

JBOSS

ladresse

Ecran 1 : Page d'accueil

Slectionnez le choix Administration.
La connexion au module dadministration ncessite un certificat
dauthentification. Ce certificat a t cr lors de la phase dinstallation. Le
fichier p12 contenant le certificat et la cl prive est plac dans le rpertoire
repinstall\ejbca_3_4_1\p12 sous le nom SuperAdmin.p12. Il doit tre install
dans votre navigateur.

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
10/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

Ecran 2 : Interface d'administration du Super Administrateur

5.3 Configuration du systme

Slectionnez le choix System Configuration pour modifier les paramtres du
systme. Les paramtres du systme sont prsents sur deux pages. Les
paramtres suivants peuvent tre modifis :

Titre de lapplication.

Bannires haute et basse.

Limitation des autorisations sur les entits finales.

Utilisation du squestre des cls.

Lutilisation de supports physiques.

Demander la confirmation pour lenvoi des mails de validation.

La langue daffichage.

Le nombre de lignes par page.

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
11/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

Ecran 3 : Premire page des paramtres du systme

5.4 Cration des interfaces de publication

Les interfaces de publication doivent tre cres en premier, car elles peuvent
tre utilises par les CA. Cependant, rien ninterdit la cration dinterface de
publication ultrieurement.
Pour crer une interface de publication, slectionnez le choix Edit
Publishers , entrez un nouveau nom pour linterface et slectionnez le bouton
Add . Slectionnez ensuite le nom dans la liste puis le bouton Edit
Publisher .
Nous devons crer deux interfaces de publication, une pour la CRL, utilise et
paramtre par la CA mettrice et lautre pour les certificats, utilise galement
par la CA mettrice mais paramtre dans le modle de certificat. Elles portent
respectivement les noms de CRL Publisher et AD Publisher.

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
12/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

Ecran 4 : Interface de publication

Les deux interfaces de publication utilisent le mme type : Active Directory
Publisher.
Elles utilisent galement le mme compte de scurit Active Directory pour
enregistrer les informations : Administrateur. Attention, il faut crer un compte
spcial qui ne sera utilis que par EJBCA. Ce compte doit avoir les
autorisations pour modifier, voire crer, les entres Active Directory
correspondant aux utilisateurs ou la CRL.
Linscription dans Active Directory se fait dans lenregistrement correspondant
au DN compos dune base et dun champ complmentaire obtenu partir du
certificat enregistrer dans la base.
La base DN pour linscription des certificats utilisateur dans AD est :
CN=users,DC=dmn1,DC=fr.
La base DN pour linscription des CRL est : CN=AIA,CN=Public Key
Services,CN=Services,CN=Configuration,DC=dmn1,DC=fr
Le nom du domaine est ici dmn1.fr
A cette base DN, sera ajout le CN du certificat. Le tout correspond lentre
Active Directory mettre jour.
Dautres paramtres permettent de dterminer si les utilisateurs doivent tre
ajouts dans Active Directory.

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
13/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

5.5 Cration de la CA subordonne

Cette SousCA est utilise pour la gnration des certificats utilisateurs.
Slectionnez le choix Edit Certificate Authorities , entrez le nom de la sous
CA et slectionnez le bouton Create .

Ecran 5 : Ajout de la CA mettrice

Slectionnez la taille de la cl, la CA dont dpend cette sous CA et le dlai de
validit de la CA. Vous devez galement fournir un dn.
Vous pourrez ensuite slectionner linterface de publication utiliser (CRL
Publisher cre prcdemment).
Vous devez entrez un nombre dheures de validit de la CRL. Vous pouvez
galement saisir lURL daccs la CRL. Le bouton Gnrer permet de pr
remplir le champ avec ladresse du serveur et le dn de la CA. Noubliez pas de
modifier ladresse du serveur, car par dfaut ladresse est localhost .
Cette adresse de CRL sera utilise comme valeur par dfaut, lors de la
gnration des certificats.
Lorsque tous les champs sont renseigns, slectionnez le bouton Save
pour enregistrer les paramtres et crer la CA. Cette opration peut prendre un
peu de temps, en fonction de la taille des cls gnrer.
Le modle de certificat utilis est le modle cr automatiquement
linstallation dEJBCA. Ce modle (SUBCA) ne peut pas tre modifi.
_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
14/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

5.6 Cration du modle de certificat

Slectionnez le choix Edit Certificate Profiles , entrez un nouveau nom pour
le profil, slectionnez le profil End User dans la liste et slectionnez le
bouton Use selected as template . Ceci permet de copier le modle de
certificat End User .

Ecran 6 : Ajout d'un modle de certificat

Le modle de certificat permet de dfinir les informations suivantes :

Le dlai de validit des certificats gnrs sur ce modle.

La prsence et la criticit des attributs du certificat comme le Key

Usage , l Alternate Key Usage , le Subject Alternative Name ,
ladresse de la CRL, ladresse du serveur OCSP, et bien dautre

Lutilisation de la cl, en slectionnant le ou les rles prvus pour ce

certificat.

Les tailles de cls autorises.

La ou les CA qui peuvent dlivrer ce modle de certificat. Slectionnez la

Sous CA nouvellement cre : SousCAEmet .

La ou les interfaces de publication utiliser. Slectionnez AD

Publisher

Slectionnez le bouton Save pour crer le modle.

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
15/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

5.7 Cration des profils

Nous devons crer deux profils. Le premier pour les administrateurs et le
second pour les utilisateurs.
Slectionnez le choix Edit End Entity Profile , entrez un nom de profil et
slectionnez le bouton Add Profile . Slectionnez ensuite le profile dans la
liste et le bouton Edit End Entity Profile .

Ecran 7 : Profil de l'entit utilisateur final

Cet cran va permettre de dfinir les champs que devra remplir ladministrateur
de RA, lors de linscription dun utilisateur. On cre le masque de saisie de la
RA.
Pour quasiment tous les champs, deux cases cocher permettent de spcifier
si le champ est obligatoire et sil peut tre modifi.
Si un champ est marqu comme non modifiable et sil comporte plusieurs
valeurs spares par un point virgule, alors, lors de lajout dun utilisateur avec
ce profil, le champ apparatra comme une liste droulante. Ladministrateur
pourra choisir une des options entres dans le profil. Par exemple, le champ
OU peut contenir les valeurs Marketing ; Finance . Ladministrateur de RA
aura le choix entre ces deux OU. Cela ne fonctionne pas, si le champ est
marqu comme modifiable.
Le DN du certificat est compos de plusieurs champs. Ces champs peuvent
tre slectionns dans une liste droulante et ajouts au profil.
La liste des modles de certificats est galement compose ici.
_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
16/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

Le format de gnration du certificat peut tre dfini. Les choix possible sont
User Generated . Dans ce cas, les cls sont gnres par lutilisateur. Si ce
format est choisi, il ne peut pas y avoir de recouvrement. Les autres choix
correspondent des formats de fichiers contenant les cls et le certificat.
Un mail peut tre envoy lutilisateur final, pour lui signifier que sa demande
de certificat est accepte. Attention, ladresse mail du destinataire est extraite
du certificat. Il est donc obligatoire de dfinir le champ dadresse mail dans le
profil (Alternate Subject Name, RFC822 Name).
Le texte du message peut contenir des squences spciales permettant de
transfrer des informations sur le compte en cours de cration.
Voici un exemple de message format pour signifier lautorisation de gnration
de certificat avec le mot de passe pour accder au compte. Ce texte est insr
dans le champ Notification Message .
PKI interne le ${DATE}
Voici le mot de passe associ votre demande de certificat ${NL}
Utilisateur : ${USERNAME}
Mot de passe : ${PASSWORD}

Remarque : Pour simplifier au maximum lexemple, un seul profil est cr.

Comme nous avons besoin de certificat dadministration et dutilisateur, le choix
Administrator doit tre coch. Ceci permettra de gnrer des certificats pour
les administrateurs.

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
17/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

5.8 Cration dun utilisateur

Slectionnez le choix Add End Entity , slectionnez le profil dsir (il ny a
pas le choix dans notre exemple), puis renseignez les champs. Les champs
marqus comme Required dans le profil apparaissent avec une case
coche.

Ecran 8 : Ajout d'un utilisateur

Entrez le nom et le mot de passe choisi pour cet utilisateur. Noubliez pas
ladresse Email, surtout si une notification doit tre envoye lutilisateur.
Le champ du DN contiendra le CN saisi ainsi que les autres champs dfinis
dans le profil et qui apparaissent lcran.
Dans le cas de la cration dun administrateur, la case Administrator doit
tre coche.
Lorsque tous les champs sont complts, slectionnez le bouton Add End
Entity . Si un champ obligatoire nest pas renseign, un message vous en
avertit.
Dans le cas contraire, le formulaire saffiche nouveau avec un message
indiquant le succs de lopration. Le formulaire est disponible pour lajout dun
autre utilisateur.

5.9 Gnration du certificat

Le certificat est gnr lorsque lutilisateur se connecte sur le site public
dEJBCA ladresse suivante :
http://AdresseDuServeur:8080/ejbca/publicweb/apply/apply_main.jsp
_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
18/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

O AdresseDuServeur correspond au nom DNS de la machine o est install le

serveur JBOSS.

Ecran 9 : Authentification de l'utilisateur

Lutilisateur saisit lidentifiant et le mot de passe que lui a transmis
ladministrateur ou quil a reus par mail.
Suivant le format de la demande lutilisateur peut tre amen slectionner
plusieurs champs, puis il est invit cliquer sur le bouton OK .
Le certificat est gnr par la CA mettrice et est mis disposition de
lutilisateur. La mise disposition dpend du format de gnration. Pour un
format User Generated , le certificat est directement inscrit dans le magasin.
Dans les autres cas, le fichier est transfr sur le poste de lutilisateur.
Recommencez la cration dutilisateurs finals avec les CN suivants :

RootCAAdmin

EmetCAAdmin

RAAdmin

Noubliez pas de cocher la case Administrator pour ces utilisateurs.

Respectez la casse.

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
19/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

5.10 Cration des groupes dadministration

Slectionnez le choix Edit Administrator Privileges , entrez un nouveau nom
de groupe, choisissez la CA concerne puis slectionnez le bouton Add
Administrator Group . Slectionnez ensuite le nouveau groupe dans la liste et
slectionnez le bouton Edit Administrators .

Ecran 10 : Ajout d'un administrateur dans un groupe

Pour reconnatre un administrateur, un champ du certificat est test. En
gnral, il sagit du champ CN. Slectionnez dans la liste Match with le
champ dsir puis la mthode de comparaison dans Math type et enfin
entrez la valeur de comparaison qui dterminera que le certificat prsent pour
lauthentification est bien un certificat dadministrateur. Quelque soit le champ
test, le certificat doit avoir t mis avec un profil indiquant quil sagit dun
certificat administrateur (case Administrator coche).
Dans notre exemple, la comparaison est effectue avec le cn du certificat.
Attention, la casse est respecte.
Lorsque les informations sont entres, slectionnez le bouton Add .
Les noms des administrateurs sont lists dans le bas de la page.
Il faut maintenant donner des droits ce groupe dadministrateurs. Pour cela,
slectionnez le lien Edit Access Rules en haut de cette page.

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
20/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

Ecran 11 : Rles attribu au groupe d'administrateurs

Slectionnez le rle des administrateurs de ce groupe, c'est--dire CA
Administrators . Puis slectionnez les CA autorises pour ce groupe (RootCA).
Validez la saisie en slectionnant le bouton Save .
Recommencez la cration dun autre groupe pour les administrateurs de la
sous CA de nom SousCAEmet. Ajoutez ladministrateur EmetCAAdmin. Ce
groupe aura le rle CA Administrators mais uniquement de la CA de nom
SousCAEmet.
Enfin, crez un dernier groupe dadministrateurs pour la RA. Le nom de
ladministrateur de ce groupe est RAAdmin. Le rle attribu ce groupe est
RA Administrators . Slectionnez la CA sur laquelle le groupe
dadministrateurs de la RA peut demander des certificats, c'est--dire
SousCAEmet. Puis slectionnez les rgles sur les entits finales ainsi que les
profils dentits finales autoriss. Validez la saisie en slectionnant le bouton
Save .

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
21/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

Ecran 12 : Rles pour un groupe d'administrateurs de RA

Lorsquun administrateur se connecte sur linterface dadministration dEJBCA,
seules les fonctions autorises sont affiches.

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
22/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

Ecran 13 : cran d'un administrateur de RA

La page de ladministrateur de RA est simplifie au maximum.

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0
23/23