Importar un único certificado

Para importar un solo certificado, utilice el comando:

Los siguientes parámetros están disponibles:

• Nombre de usuario : Nombre de usuario de la entidad final que debe ser propietaria del certificado. Si la entidad final no existe, se creará automáticamente. Si la entidad final ya existe, se asociará con el certificado importado y se actualizarán sus propiedades (sujeto, nombres alternativos del sujeto).

• contraseña - Contraseña que se establecerá para la entidad final (a menudo llamada código de inscripción en la RA Web).

• caname : El nombre de la CA que emitió el certificado. La firma del emisor se verificará con la de esta CA. Si la firma no coincide, el certificado no se importará. El certificado de la CA debe estar presente en la base de datos (al menos como CA externa).

• Estado : Estado que debe establecerse para el certificado importado. Los valores admitidos son ACTIVO (para certificados válidos) y REVOCADO (para certificados revocados). El motivo de la revocación para los certificados REVOCADOS se establecerá en Sin especificar .

• Correo electrónico : Correo electrónico que se usará para la entidad final. Si el correo electrónico se establece como la cadena null , se obtendrá del propio certificado.

• archivo de certificado : ruta al archivo PEM codificado en BASE64 que contiene el certificado de entidad final.

• endentityprofile : Perfil de entidad final utilizado para el certificado. El certificado se verificará según las restricciones establecidas por este perfil. Si el certificado infringe las restricciones, no se importará. Si no se proporciona ningún perfil de entidad final, se utilizará el perfil predeterminado VACÍO .

• Perfil de certificado : Perfil de certificado utilizado para el certificado. Una vez importado, se marcará como perteneciente al perfil de certificado especificado. Si no se especifica el perfil de certificado, se utilizará el perfil de certificado fijo ENDUSER .

• Motivo de revocación : Permite importar un certificado revocado con un motivo de revocación específico. Utilice la opción --help para ver una lista de motivos de revocación válidos. Se establecerá como SIN ESPECIFICAR si no se especifica.

• Hora de revocación : Permite importar un certificado revocado con una hora de revocación específica en el formato aaaa.MM.dd-HH:mm . Se establecerá en la hora actual si no se proporciona.

Al ejecutar el comando sin ningún parámetro, se mostrará ayuda de uso básico y una lista de valores de parámetros aceptables (para caname , status , endentityprofile y certificateprofile ).

A continuación se muestra un ejemplo de uso del comando importcert :

Este comando crearía una nueva entidad final (o usaría la existente) en EJBCA llamada myuser con la contraseña proporcionada, y agregaría un nuevo certificado activo (no revocado) para este usuario bajo el perfil de entidad final EMPTY , usando el perfil de certificado ENDUSER .

Importación masiva de certificados

Para importar certificados de forma masiva, utilice el comando:

Los parámetros son los siguientes:

• username-source - Especifica cómo derivar el nombre de usuario de la entidad final que será propietaria del certificado. Los valores admitidos son CN , DN y FILE . Si se establece en CN , el nombre de usuario será igual al atributo de nombre común presente en el sujeto del certificado. Si se establece en DN , el nombre de usuario será igual al nombre distinguido completo (sujeto) del certificado. Si se establece en FILE , el nombre de usuario será el mismo que el nombre del archivo (extensión incluida). Si se establece en CN, y CN no está presente en el sujeto, la importación primero recurrirá al uso de DN, o si este tampoco está disponible, al nombre de archivo. Si se establece en DN, y el sujeto no está presente en el certificado, la importación recurrirá al uso del nombre de archivo como nombre de usuario. La entidad final se creará automáticamente si aún no existe. Si la entidad final ya existe, el certificado importado se asociará a ella y se actualizarán las propiedades de la entidad final.

• caname : El nombre de la CA que emitió los certificados. La firma del emisor del certificado se verificará con esta CA. Si la firma no coincide, el certificado no se importará. El certificado de la CA debe estar presente en la base de datos (al menos como CA externa).

• Estado : Estado que debe establecerse para los certificados importados. Los valores admitidos son ACTIVO (para certificados válidos) y REVOCADO (para certificados revocados). El motivo de revocación para los certificados REVOCADOS se establecerá en Sin especificar .

• directorio del certificado : Ruta al directorio que contiene los archivos del certificado. Cada archivo debe contener un solo certificado. El directorio no debe contener subdirectorios ni archivos que no sean certificados. La extensión del archivo no importa: se procesarán todos los archivos.

• endentityprofile : Perfil de entidad final utilizado para los certificados. Los certificados se verificarán según las restricciones establecidas por el perfil de entidad final. Si el certificado infringe las restricciones, no se importará.

• Perfil de certificado : Perfil de certificado utilizado para los certificados. Una vez importado, el certificado se marcará como perteneciente al perfil de certificado especificado.

• -resumeonerror : Esta opción opcional permite forzar la importación incluso si se detectan errores más graves. Por defecto, esta opción no está habilitada. Los errores que cubre esta opción son, entre otros, violaciones de restricciones del perfil de entidad final, problemas con la lectura/análisis de archivos de certificado, etc.

• Motivo de revocación : Permite importar un certificado revocado con un motivo de revocación específico. Utilice la opción --help para ver una lista de motivos de revocación válidos. Se establecerá como SIN ESPECIFICAR si no se especifica.

• Hora de revocación : Permite importar un certificado revocado con una hora de revocación específica en el formato aaaa.MM.dd-HH:mm . Se establecerá en la hora actual si no se proporciona.

Al ejecutar el comando sin ningún parámetro, se mostrará ayuda de uso básico y una lista de valores de parámetros aceptables (para username-source , status , endentityprofile y certificateprofile ).

Los certificados que ya estén en la base de datos se omitirán durante la importación. También se omitirán los certificados que pertenezcan a una CA diferente a la especificada. Cualquier otra discrepancia (como un formato de archivo no válido, un subdirectorio o restricciones de entidad final infringidas) detendrá la importación, a menos que se haya habilitado la opción -resumeonerror . Los certificados importados hasta la discrepancia permanecerán en la base de datos. Para cada certificado omitido, el comando mostrará su número de serie y el nombre del archivo. La misma información se mostrará para los errores.

Una vez finalizada la importación, se muestra un breve resumen con el número de certificados importados, el número de certificados redundantes (ya existentes) y el número de certificados rechazados (que no fueron firmados por la CA solicitada). No se mostrará ningún resumen si se detectan errores anormales (es decir, cualquier error que no sea el certificado ya existente o la CA no coincidente), a menos que se haya activado la opción -resumeonerror .

Si se ha habilitado la opción -resumeonerror , la importación continuará hasta que se procesen todas las entradas del directorio. Los errores se seguirán imprimiendo y el resumen contendrá la siguiente información adicional:

• Número de certificados que no se pudieron leer (debido a un formato mal formado o porque son directorios).

• Número de certificados que han violado las restricciones de entidad final (número no válido de campos de sujeto/nombre alternativo del sujeto, valores incorrectos para campos no modificables, etc.).

• Número de certificados que no se pudieron leer debido a otros errores.