Creando la CA

Para crear la CA en la interfaz de usuario de CA EJBCA, haga lo siguiente:

1. En la interfaz de usuario de CA, haga clic en Autoridades de certificación en Funciones de CA para abrir la página Administrar autoridades de certificación .

2. En el campo Agregar CA , ingrese el nombre de la CA y haga clic en Crear .
   
   

3. En la página Crear CA, seleccione CVC como Tipo de CA y elija el Token criptográfico y el Algoritmo de firma .
   
   

4. Para configurar el DN del sujeto , siga los ejemplos anteriores para configurarlo de acuerdo con el estándar ISO.
   
   

5. Dado que una CA BAC/EAC es una CA raíz, configure "Firmado por" como "Autofirmado" y "Perfil del certificado" como "ROOTCA" o un perfil que lo extienda. Además, asegúrese de configurar la validez correcta.
   
   

   Tenga en cuenta que EJBCA solo valida que los códigos de país consten de dos caracteres con valor AZ para facilitar las pruebas con países simulados.

6. Para crear un Verificador de Documentos (VD), seleccione Firmado por=Nombre de CVCCA y Perfil de Certificado=SUBCA . Para más información, consulte Verificadores de Documentos (VD) .

Puede importar un certificado CVCA de otro país como CA externa mediante Editar Autoridades de Certificación > Importar certificado de CA. Una vez importada una CA, este certificado puede autenticar solicitudes CVC de entidades de certificación externas.

Uso de la API de WebService

La API del servicio web (WS) EJBCA tiene varios métodos para administrar DV e IS.

• crearCa Firmada Externamente

• Respuesta del certificado de ca

• Solicitud de renovación de certificado de CA

• Solicitud cvc

El método cvcRequest se utiliza para inscribir y renovar DV (en un CVCA) e IS (en un DV).

El siguiente proceso se aplica cuando se recibe una solicitud CVC a través de la llamada API de WS:

1. Busque si existe un usuario con el nombre de usuario especificado.

2. Si el usuario existe:

   1. Si se revoca el estado del usuario, se deniega la solicitud (AuthorizationDeniedException).

   2. Verificar si el usuario tiene certificados antiguos.

   • Si hay certificados antiguos y la solicitud es una solicitud autenticada (con firma externa):
     

     • Si la solicitud utiliza la misma clave pública que el certificado antiguo, la solicitud se rechaza (AuthorizationDeniedException).

     • Si el certificado antiguo puede verificar la solicitud pero el certificado no es válido, lanzamos una CertificateExpiredException.

     • Si la solicitud se puede verificar utilizando uno de los certificados válidos antiguos, la solicitud se concede automáticamente y el estado del usuario se establece como nuevo y la contraseña se establece como la contraseña indicada.

     • Si la solicitud no se puede verificar en absoluto, se rechaza (AuthorizationDeniedException).

   • Si no hay certificados antiguos, intentamos procesar la solicitud como una solicitud no autenticada.

3. Si el usuario no existe, intentamos procesar la solicitud como una solicitud no autenticada.

4. Procesar la solicitud como una solicitud no autenticada significa que intentamos autenticarnos usando la contraseña proporcionada y eso solo funciona si el estado del usuario es nuevo.

Las API de servicios web caRenewCertRequest y caCertResponse son útiles cuando se utilizan desde un SPoC para renovar certificados de certificado (DV), por ejemplo. Para obtener más información, consulte Administración de CA de CVC: Creación de un DV y Administración del ciclo de vida de un DV mediante WS .