Esta página describe un flujo de trabajo básico para crear una CA emisora X509, firmada por una CA raíz en una máquina diferente.

Para obtener información más general sobre la gestión de CA, consulte Gestión de CA y para obtener información conceptual, consulte Descripción general de la autoridad de certificación .

Crear CA emisora

Para crear la CA en la interfaz de usuario de CA EJBCA, haga lo siguiente:

Haga clic en Autoridades de certificación en Funciones de CA para abrir la página Administrar autoridades de certificación .
En el campo Agregar CA , especifique un nombre para la CA y haga clic en Crear .
A continuación, en la página Crear CA, configure el DN del sujeto y el emisor:
- DN del sujeto : especifique el DN del sujeto para la CA.
- Firmado por : Seleccione CA externa como firmante. Tenga en cuenta que los campos Perfil de certificado , Validez, SAN y OID de la política de certificados están deshabilitados, ya que estos valores los establece el emisor.
Configurar opcionalmente Aprobaciones/Control de acceso dual .
Si desea que varios administradores de confianza firmen la emisión de un nuevo certificado de CA, configure los Perfiles de aprobación en la sección Configuración de aprobación .
A continuación, cree una solicitud de firma de certificado .
Como paso final por ahora en la instancia de Sub CA, cree una Solicitud de Firma de Certificado (CSR) a la CA Raíz para obtener la firma del certificado de esta CA.

Si aún no ha agregado la raíz como CA externa , aquí también puede cargar su certificado. Si existe una jerarquía más profunda entre esta CA y la raíz, deberá cargar la cadena completa.
Haga clic en Realizar solicitud de certificado para generar el CSR, que le permitirá copiarlo como texto, descargarlo en formato BASE64 (PEM) o como archivo binario (DER).
Haga clic en Crear en la parte inferior de la página para finalizar la CA.

En la página Administrar autoridades de certificación , observe que la CA emisora ahora está creada y tiene el estado Esperando respuesta de certificado, lo que significa que no podrá emitir certificados, firmar CRL ni responder a solicitudes OCSP hasta que se hayan firmado las claves.
imágenes/descargar/archivos adjuntos/108529756/Captura de pantalla_2020-12-17_a_10.03.40.png

Firmar par de claves CA

Al regresar a la instancia raíz, ahora firmará el par de claves de la CA emisora emitiendo un certificado para ella.

Las siguientes instrucciones requieren los siguientes perfiles:

Un perfil de certificado que describe los certificados de CA. Para obtener instrucciones, consulte Crear un perfil de certificado .
Un perfil de entidad final con todos los valores de plantilla para su infraestructura de CA. Para obtener instrucciones, consulte Crear un perfil de entidad final .

Para obtener más información sobre los perfiles, consulte Operaciones de perfiles de certificado y Operaciones de perfiles de entidad final .

Para firmar el par de claves de la CA emisora emitiendo un certificado para ella, haga lo siguiente:

En la instancia de CA raíz, seleccione la opción del menú web de RA y haga clic en "Inscribir nuevo certificado" . Desde la perspectiva de la CA raíz, la CA emisora es simplemente otra entidad final.
Seleccione el perfil de entidad final y el perfil de certificado correctos (si el perfil de entidad final permite más de uno) y la CA correcta. A continuación, seleccione la opción " Proporcionada por el usuario " (si está disponible) para indicar que el par de claves no se generará en la raíz y, a continuación, pegue o cargue la CSR.
Haga clic en "Cargar CSR" para poder leer el CSR de la CA emisora y revisarlo por última vez antes de la inscripción y la emisión. El nombre de usuario que se le solicita se utiliza principalmente para vincular la entidad final generada a una identidad física.
El certificado ya está emitido. Haga clic en uno de los botones de descarga para descargarlo en su formato preferido.

Leer la respuesta del certificado al emisor de CA

Para leer la respuesta del certificado en la CA emisora, haga lo siguiente:

Regrese a la instancia de CA emisora y haga clic en Autoridades de certificación en Funciones de CA para abrir la página Administrar autoridades de certificación .
Seleccione su CA en la lista y haga clic en Editar CA.
Desplácese hacia abajo hasta la sección "Creación/renovación de CA firmada externamente" . En "Paso 2 - Importar certificado" , haga clic en " Elegir archivo" para cargar el certificado que acaba de descargar de la raíz y, a continuación, haga clic en " Recibir respuesta del certificado" .
Su CA emisora ahora está completamente firmada y en línea y figura como Activa en la lista de Autoridades de Certificación.

Crear una CA firmada por una CA externa mediante la interfaz de línea de comandos (CLI)

Alternativamente, puede crear la CA firmada por una CA externa utilizando la interfaz de línea de comandos (CLI).

Crear la CA generando un CSR.
Tenga en cuenta que la contraseña del token Crypto está configurada en foo123 :

$ bin /ejbca .sh ca init CaSignedByExteral "CN=This CA is Signed by an external CA" soft foo123 secp256r1 ECDSA 365 null SHA256withECDSA --signedby External -externalcachain chain.pem
El archivo chain.pem contiene la cadena de certificados de la CA externa, como se describió anteriormente. Al ejecutar el comando anterior, se guarda en el disco una CSR llamada CaSignedByExteral_csr.der , que contiene una CSR PKCS#10 en formato binario. Envíe la CSR a la CA externa y obtenga el certificado de la subCA firmado.
Importe el certificado de sub CA, activando su CA:

$ bin /ejbca .sh ca importcacert CaSignedByExteral subcacertificate.pem
El archivo subcacertificate.pem contiene el certificado sub CA recibido.

Contenido relacionado

Página: Descripción general de la autoridad de certificación
Página: Gestión de CA
Página: Importación de una CA externa
Página: Creación de una CA emisora firmada por una raíz en el mismo nodo
Página: Creación de una CA raíz