Creación de una CA raíz

Esta página describe el flujo de trabajo sobre cómo crear una CA raíz X509.

Para obtener información más general sobre la gestión de CA, consulte Gestión de CA y para obtener información conceptual, consulte Descripción general de la autoridad de certificación .

Tenga en cuenta que lo siguiente proporciona un flujo de trabajo básico para crear una CA raíz y omite configuraciones y parámetros que no son obligatorios de tener en cuenta.

Crear CA raíz

Para crear la CA raíz en la interfaz de usuario de CA EJBCA, haga lo siguiente:

  1. Haga clic en Autoridades de certificación en Funciones de CA para abrir la página Administrar autoridades de certificación .
    imágenes/descargar/archivos adjuntos/108529552/Captura de pantalla_2020-12-16_a_16.16.44.png

  2. En el campo Agregar CA , especifique un nombre para la CA y haga clic en Crear .
     imágenes/descargar/archivos adjuntos/108529552/Captura de pantalla_2020-04-15_a_11.48.56.png

  3. A continuación, en la página Crear CA, configure el DN del sujeto, el emisor y el perfil del certificado:

    • DN del sujeto : especifique el DN del sujeto para la CA.

    • Firmado por : Seleccione el firmante del certificado de la CA, en este caso , "Autofirmado", ya que se trata de la CA raíz . "Autofirmado" significa que esta CA se ha firmado a sí misma, lo que la convierte en raíz.

    • Perfil de certificado : Seleccione el perfil de certificado . El perfil de certificado puede ser la plantilla ROOTCA o una derivada de esta.
      imágenes/s/-2y7bau/8703/189cb2l/_/imagenes/iconos/emoticonos/advertencia.svg Tenga en cuenta que el perfil del certificado describe el certificado propio de la CA raíz, no los certificados de la subCA que emite.
      imágenes/descargar/archivos adjuntos/108529552/Captura de pantalla_2020-04-15_a_las_11.49.12.png

  4. Especifique la validez del certificado de la CA. Para una CA raíz, se recomienda establecer esta validez a un plazo bastante lejano, por ejemplo, 10 años.
    imágenes/descargar/archivos adjuntos/108529552/Captura de pantalla_2020-12-16_a_16.26.26.png

    Al finalizar el período de validez, deberá renovar el certificado de su CA. Si no lo hace, su PKI quedará invalidada.

  5. Configurar opcionalmente Aprobaciones/Control de acceso dual .
    Si desea que varios administradores de confianza firmen la emisión de un nuevo certificado de CA, configure los Perfiles de aprobación en la sección Configuración de aprobación .

    imágenes/descargar/miniaturas/108529552/Captura de pantalla_2020-12-16_a_las_16.23.14.png

  6. Especifique cualquier otro valor deseado y luego haga clic en Crear en la parte inferior de la pantalla para finalizar la CA.

Su CA raíz ahora está en línea y aparece en la página Administrar autoridades de certificación .

imágenes/descargar/archivos adjuntos/108529552/ListofCAs.png

Crear una CA raíz mediante la interfaz de línea de comandos (CLI)

Alternativamente, puede crear las CA raíz utilizando la interfaz de línea de comandos (CLI).

  1. Para crear la CA raíz, utilice el siguiente comando CLI:

    $ bin /ejbca .sh ca init

  2. Al ejecutar el comando con la opción --help , se imprimirá una lista completa de opciones y opciones. Un ejemplo típico de uso de este comando es el siguiente:

    $ bin /ejbca .sh ca init TestRoot "C=SE,O=PrimeKey,CN=TestRoot" soft foo123 2048 RSA 365 --policy 2.5.29.32.0 SHA256WithRSA

Esto creará una CA raíz con el DN C=SE,O=PrimeKey,CN=TestRoot . La longitud de la clave es de 2048 bits (RSA) y la validez del certificado raíz es de 365 días. Debe citar el DN para que se considere un solo argumento. PKIX exige que una CRL siempre esté disponible, incluso si está vacía. Al crear una nueva CA, el certificado de CA se almacena y publica (si se configuran publicadores), y se crea, almacena y publica la CRL inicial.