Proxy CMP
EMPRESA Esta es una característica de EJBCA Enterprise.
Esta funcionalidad está obsoleta.
A continuación se describe el módulo Proxy CMP. Para obtener más información sobre el Protocolo de Gestión de Certificados (CMP) y su funcionamiento con EJBCA, consulte CMP .
En algunas instalaciones, puede ser conveniente finalizar la conexión del cliente en una DMZ antes de continuar con la CA. En este caso, el cliente nunca tiene una conexión de red directa con el equipo de la CA. En tal caso, se puede usar el módulo proxy CMP. Los clientes usan el proxy CMP, como de otro modo usarían EJBCA. El proxy, a su vez, se conecta a EJBCA, recibe la respuesta y la reenvía al cliente.
El proxy es un módulo independiente que se ejecuta en una máquina distinta a la de la CA.
Consulte EJBCA_HOME/modules/cmpProxy/resources/README para obtener información sobre cómo crear y utilizar el proxy.
Backends
El proxy CMP puede usar diferentes backends de conexión a la CA. Los más útiles son:
Conexión HTTP directa: el proxy CMP crea una nueva conexión HTTP a la CA y devuelve la respuesta al cliente, a través de la conexión del cliente, después de recibir la respuesta de la CA.
Conexión de RA externa : El proxy CMP crea un mensaje de RA externo en una base de datos de RA externa, que la CA sondea. Cuando la CA almacena un mensaje de retorno en la base de datos de RA externa, el proxy CMP lo recoge y lo devuelve al cliente.
Validación de mensajes de proxy CMP
El proxy CMP ofrece opciones para verificar la protección de los mensajes CMP antes de enviarlos a la CA. Se pueden verificar la protección MAC y la firma mediante contraseña. Estas validaciones se pueden activar en _cmpProxy.properties{_}. Los encabezados de los mensajes CMP solo permiten un tipo de protección por mensaje, por lo que al activar ambos modos, los mensajes podrán usar cualquiera de los dos. Los mensajes rechazados nunca pasarán el proxy CMP, sino que se rechazarán de la misma forma que si hubieran sido rechazados por la CA.
MAC basada en contraseña
La verificación de MAC basada en contraseña se puede activar configurando el siguiente valor como verdadero en cmpProxy.properties :
cmp.backend.hmacPasswordValidationRequired=trueAdemás de esto, se deben definir pares KeyId/contraseña, donde KeyID es el nombre de la CA y la contraseña es el secreto de autenticación de CMP RA para esa CA.
cmp.backend.hmacPassword.keylist=[ca1:foo][ca2:bar] Firma
Este formulario se puede activar estableciendo el siguiente valor:
cmp.backend.signatureRequired=trueAdemás de esto, es necesario definir el siguiente valor:
cmp.backend.issuerchainpathEste valor se puede establecer en un solo archivo PEM o en un directorio que contenga varios archivos PEM que representen uno o más emisores válidos de certificados de firma.
Mensajes de error del proxy CMP
El proxy CMP devolverá mensajes de error, en parte debido a problemas inherentes al propio proxy y en parte debido a la evaluación de las solicitudes CMP directamente en el proxy antes de transmitirlas. Los mensajes que se muestran aquí son los que devuelve el proxy independientemente de la CA, como se indica en la sección "Mensajes de error de CMP".
Descripción del error | Tipo de error | Código de error |
La solicitud recibida no contenía un objeto DER. | CMP sin firmar | SOLICITUD INCORRECTA (2) |
Enviar una solicitud con una URL que no coincide con un alias de CMP existente | HTTP | 404 No encontrado |
Error al enviar una respuesta a través de TCP. | HTTP | 500 Error interno del servidor |
Se requirió protección de firma/HMAC en la configuración, pero no había protección presente. | CMP sin firmar | SOLICITUD INCORRECTA (2) |
Error en la verificación de HMAC/firma. | CMP sin firmar | SOLICITUD INCORRECTA (2) |
Se requirió la firma del mensaje, pero no se proporcionó ningún certificado de firma. | CMP sin firmar | SOLICITUD INCORRECTA (2) |
Se requirió la firma del mensaje, pero no se pudo realizar la verificación de revocación. | CMP sin firmar | SISTEMA NO DISPONIBLE (24) |
Se requirió la firma del mensaje si ocurrió una falla de caché durante la verificación de revocación. | CMP sin firmar | SISTEMA NO DISPONIBLE (24) |
Se requirió la firma del mensaje, pero no se definieron cadenas de certificados en el proxy | CMP sin firmar | SISTEMA NO DISPONIBLE (24) |
Se requirió la firma del mensaje, pero se revocó el certificado del firmante. | CMP sin firmar | SOLICITUD INCORRECTA (2) |
Contenido relacionado
Página: Mensajes de error de CMP
Página: Uso de CMP con 3GPP
Página: Interoperabilidad CMP
Página: CMP