Problemas de configuración
A continuación se proporciona información sobre los problemas de configuración implementados.
Comprobación de validez de la vinculación de claves internas
Par de perfil de certificado/entidad final sin ninguna autoridad de certificación en común
Violación de restricciones básicas
Produce un ticket con prioridad ERROR para cada CA X.509 con una cadena de certificados que viola una restricción básica.
Esto se realiza evaluando la extensión de las restricciones básicas del certificado. Una cadena de certificados infringe las restricciones básicas si:
La cadena de certificados contiene un certificado que no es un certificado CA.
La cadena de certificados contiene un certificado sin la extensión de restricciones básicas.
La cadena de certificados contiene un certificado que viola una restricción de longitud de ruta.
Es poco probable que un cliente TLS acepte una cadena de certificados que viole una restricción básica.
Para identificar el problema, puede imprimir la cadena de certificados utilizando OpenSSL e inspeccionar la extensión de restricciones básicas:
openssl x509 - in chain.pem -noout -textBusque una sección que se parezca a la siguiente:
X509v3 Basic Constraints: criticalCA:TRUE, pathlen:0 ECC con cifrado de clave
Produce un ticket con prioridad WARN para cada perfil de certificado que admita un esquema de firma basado en ECC mientras tiene habilitado el uso de clave keyEncipherment al mismo tiempo.
La sección 3 del RFC 5480 define los bits de uso de clave permitidos con la información de clave pública del sujeto de criptografía de curva elíptica. El cifrado de clave no figura en la lista.
Comprobación de validez de la vinculación de claves internas
Produce un ticket por cada enlace de clave interna activo cuyo certificado esté vencido o aún no sea válido, según el reloj local de EJBCA.
Las combinaciones de teclas internas con certificados vencidos no podrán funcionar correctamente y deberá renovar estos certificados lo antes posible.
No está en modo de producción
Produce un solo ticket con prioridad INFO cuando EJBCA se ejecuta en modo de no producción.
Es posible ejecutar pruebas del sistema (intencionadamente o por accidente) en una instancia de este tipo, y existen herramientas adicionales para desarrolladores. Por razones de seguridad, un entorno de producción nunca debería tener una instancia ejecutándose en modo no productivo.
Para poner EJBCA en modo de producción, realice el siguiente ajuste en el archivo de configuración ejbca.properties y vuelva a implementar EJBCA.
ejbca.productionmode= true Par de perfil de certificado/entidad final sin ninguna autoridad de certificación en común
Produce un ticket con prioridad ERROR para cada par de perfiles sin ninguna autoridad de certificación en común.
Hay una configuración para restringir las CA disponibles para una entidad final en el perfil de entidad final.
Se considera una configuración incorrecta si ninguna de las autoridades de certificación seleccionadas en esta lista está seleccionada en la lista de autoridades de certificación disponibles para el perfil de certificado (ya que será imposible emitir certificados utilizando dicho perfil de entidad final).