La RA se instala como parte de la instalación de EJBCA y después de configurar una CA en el host local, por ejemplo, la interfaz de usuario de RA estará disponible en https://localhost:8443/ejbca/ra/ .
Para instalar la RA como servicio externo, instale EJBCA con una CA de administración externa (de su CA de EJBCA) y, a continuación, configure una conexión entre pares desde la CA a la RA. Para obtener más información, consulte Roles y reglas de acceso, Operaciones y sistemas de pares .
Configuración de una nueva RA
Para configurar una nueva RA sondeada por la CA, realice los siguientes pasos:
Tenga en cuenta que esto no describe un procedimiento de instalación completo para ningún caso de uso.
Paso 1: Configurar la conexión TLS de CA a RA
Sobre la CA emisora
Primero, configure una vinculación de clave de autenticación para identificar la CA con la RA:
Cree un token criptográfico y en él una clave de tamaño apropiado para TL.
Vaya a Autenticación remota .
Haga clic en Crear nuevo y seleccione el token y la clave criptográfica TLS, luego haga clic en Crear .
Regrese a la página de descripción general y haga clic en CSR para obtener una solicitud de firma de certificado para el par de claves TLS.
En la CA de gestión
El siguiente paso es hacer que la CA de administración firme las claves TLS:
Vaya a la interfaz de usuario de RA en la CA de administración.
Haga clic en Inscribirse y realizar nueva solicitud .
En Generación de pares de claves , haga clic en Proporcionado por el usuario .
Sube y pega el CSR y sigue las instrucciones hasta que puedas descargar un certificado en formato PEM. Este es tu certificado TLS.
Sobre la CA emisora
Vaya a Autenticación remota .
En el menú Importar certificado emitido externamente , cargue el certificado TLS para su vinculación de clave.
Haga clic en Habilitar en la combinación de teclas interna.
Haga clic en Sistemas pares .
Haga clic en Editar junto al Conector de pares .
En la sección de solicitudes entrantes, seleccione Procesar solicitudes entrantes y haga clic en Guardar.
Haga clic en Solicitudes autorizadas .
En la lista de roles, seleccione Crear nuevo rol y haga clic en Seleccionar .
Seleccionar todas las opciones para todas las reglas de RA .
Seleccione todas las opciones para Procesar solicitudes para CA(s) .
Seleccione todas las opciones para Procesar solicitudes para perfiles de entidad final .
Haga clic en Crear nuevo rol .
Paso 2: Configurar la RA para permitir conexiones entrantes
En la RA
Para configurar la RA para permitir conexiones entrantes, haga lo siguiente:
Haga clic en Sistemas pares .
Seleccione Permitir conexiones entrantes para permitir que la CA se conecte.
Paso 3: Configurar una conexión entre pares saliente
Sobre la CA emisora
Para configurar una conexión entre pares saliente, haga lo siguiente:
Haga clic en Sistemas pares .
En la sección Conexión entre pares salientes , haga clic en Agregar .
Seleccione la clave de autenticación recién creada y complete la URL correcta para la RA, luego haga clic en Crear .
Haga clic en Ping para la nueva conexión de par saliente para abrir la conexión inicial.
Paso 4: Configurar la conexión entre pares entrantes
En la RA
Para configurar la conexión entre pares entrantes, haga lo siguiente:
La conexión entrante de la CA debería aparecer en la sección "Conexiones entrantes ". La CA puede conectarse, pero la RA no tiene permisos.
Haga clic en "Crear rol" y seleccione un rol predefinido para la conexión entre pares o configure EJBCA para que lo cree automáticamente (sugerencia). Luego, haga clic en "Seleccionar".
Seleccione Aceptar conexiones colgantes largas .
Asegúrese de que la opción Aceptar solicitudes de RA esté desactivada.
Seleccione CA de gestión de acceso y seleccione una CA para la que haya importado un certificado de CA a la RA.
Haga clic en Crear nuevo rol .
El rol ahora se ha creado en la CA para que lo utilice la RA.