Sistemas de inspección
Se recomienda utilizar la API de servicios web EJBCA para inscribir sistemas de inspección (IS). El método cvcRequest permite implementar la emisión inicial y la renovación automática de solicitudes CVC de IS. Para obtener más información, consulte la Referencia de la API de servicios web EJBCA .
Tenga en cuenta lo siguiente sobre la lógica de procesamiento de inscripción mediante la API de servicio web:
Un nuevo IS que no tenga un certificado antiguo emitido debe estar previamente registrado, estar en estado NUEVO y utilizar una contraseña.
No se puede inscribir un IS con estado REVOCADO o HISTÓRICO.
Si la solicitud es una solicitud autenticada y el IS tiene un certificado antiguo válido (en el tiempo) (en la base de datos EJBCA) que puede verificar la firma externa, se permite automáticamente inscribir un nuevo certificado IS.
Si la solicitud autenticada no se puede verificar porque la firma externa no se puede verificar en absoluto (firma no válida o ningún certificado de verificación en la base de datos EJBCA), la solicitud se rechaza.
Si la solicitud autenticada no se puede verificar porque la firma externa se puede verificar pero el certificado de verificación no es válido, el usuario debe estar en estado NUEVO y usar una contraseña.
Siempre se devuelve la cadena de certificados completa, con el certificado IS en la primera posición, el certificado DV en la segunda y el certificado CVCA en último lugar.
La revocación de un IS prohíbe la emisión adicional de certificados para ese IS mediante la API de WS.
El cliente de línea de comandos para pruebas disponible en dist/clientToolBox CvcWsRaCli se puede utilizar para realizar solicitudes y analizar, imprimir y verificar solicitudes y certificados.
Tenga en cuenta que el nombre de la entidad final de IS (CN, etc.) no debe modificarse una vez emitido el certificado, ya que esto provocará el fracaso de cualquier renovación futura. En tal caso, se deberá crear una nueva entidad final de IS.
Las entidades finales de SI existentes no se deben reutilizar para sistemas nuevos o al reemplazar un SI antiguo, sino que siempre se debe crear uno nuevo.
Perfiles de certificados IS
Para configurar un perfil de certificado para sistemas de inspección, utilice las siguientes configuraciones.
A partir de EAC 2.10, EJBCA también admite jerarquías de certificados para entidades finales de terminal de autenticación (AT) y terminal de firma (ST), configuradas mediante las configuraciones siguientes y especificando el tipo de terminal apropiado.
Configuración | Descripción |
Tipo | Utilice el tipo Entidad final. |
Algoritmos clave disponibles, curvas ECDSA y longitudes de bits | Especifique que coincida con su jerarquía EAC (todos los certificados en una cadena EAC deben usar el mismo tipo de claves y algoritmos de firma). |
Validez | Un certificado IS normalmente es válido entre 1 y 30 días. |
Compensación de validez | Configurar a 0 m para no considerar ningún desfase de reloj. Suponer que todos los componentes tienen la hora correcta. |
Tipo de terminal CVC | Utilice el sistema de inspección . Para utilizar certificados AT o ST, cree perfiles de certificado con el tipo de terminal configurado adecuadamente para sus CA y entidades finales. |
Derechos de acceso al CVC | DG3, DG4 o ambos. |