Las siguientes secciones cubren información sobre el manejo de CA de certificados verificables de tarjeta (CVC) y operaciones específicas de CVC.

Para obtener una descripción general de las funciones y secciones que brindan información sobre las CA CVC, consulte CA CVC .

Creación de CA CVC

Para obtener instrucciones sobre cómo crear una CA de certificado verificable de tarjeta (CVC), consulte:

→ Creación de una CA CVC

Importación de CA CVC

Para fines de prueba, es posible que reciba una clave privada y un certificado CV para el punto de confianza CVCA utilizado por el fabricante del pasaporte al crear pasaportes de muestra.

Para probar sus sistemas de proceso e inspección, si tiene una clave privada PKCS#8 y un certificado CV con la clave pública, puede importar un CVCA (con almacén de claves programable) en EJBCA:

$ bin /ejbca .sh ca importcvca

Ejemplo de comando de importación utilizando el certificado CV proporcionado:

 $ bin /ejbca .sh ca importcvca importcvca1 GO_CVCA_RSA2008.pkcs8 GO_CVCA_RSA2008.cvcert C=SE,CN=IMPCA1

Ejemplo de comando de importación que utiliza las mismas claves privadas/públicas, pero generando un nuevo certificado:

 $ bin /ejbca .sh ca importcvca importcvca1 GO_CVCA_RSA2008.pkcs8 GO_CVCA_RSA2008.cvcert C=SE,CN=IMPCA1 SHA1WithRSA 365 

Creación de verificadores de documentos (DV)

Para obtener instrucciones sobre cómo crear una CA de verificación de documentos (DV) y emitir certificados del sistema de inspección, consulte:

→ Creación de una CA DV y emisión de certificados del sistema de inspección

Importación de DV

También puedes importar DV. Para ello, necesitas una cadena con el certificado DV primero y el certificado CVCA después.

 # Import the CVCA
 $ bin /ejbca .sh ca importcvcca --caname CVCARSA -f CVCARSA.pkcs8 -c SECVCARSA00000_SECVCARSA00000.cacert.pem
 # Create the certificate chain PEM file
 $ cat SECVCARSA00000_SEDVCARSA00000.cacert.pem SECVCARSA00000_SECVCARSA00000.cacert.pem > chain.pem
 # Import the DV
 $ bin /ejbca .sh ca importcvcca --caname DVCARSA -f DVCARSA.pkcs8 -c chain.pem 

Creación de solicitudes autenticadas

Para firmar solicitudes de certificado CV con su CA de verificación de país (CVCA), vaya a Editar autoridades de certificación , seleccione su CVCA y haga clic en Crear solicitud de firma de certificado autenticada . Puede cargar la solicitud de certificado CV a la CVCA y obtener una solicitud autenticada. Esto es necesario al enviar solicitudes de certificado desde sus entidades de verificación de país (CVCA) a otros estados miembros.

Al renovar un Verificador de Documentos (VD) y enviar una solicitud a otro estado miembro, puede obtener la autenticación automática de la solicitud firmándola con las claves antiguas del VD. Para ello, cree una CSR para la nueva clave del VD y firme una solicitud autenticada con la clave antigua. Tras generar las nuevas claves en el token criptográfico, vaya a Autoridades de Certificación , seleccione el VD deseado y haga clic en Editar . Asegúrese de que la secuencia esté actualizada y, a continuación, seleccione la opción para generar una nueva CSR para la nueva clave en la sección Creación/renovación de CA con firma externa . Si se trata de una renovación, se devolverá una solicitud autenticada con la clave actual del VD (la nueva clave aún no está activada).

Para ver la solicitud DV autenticada mediante la herramienta CLI de clientToolBox , utilice lo siguiente:

$ . /ejbcaClientToolBox .sh CvcWsRaCli cvcprint SEDVCA00100001.pem

Para verificar la solicitud DV autenticada, se necesita toda la cadena en el caso de ECDSA, ya que los parámetros de la curva EC solo están presentes en el certificado CVCA.

 $ . /ejbcaClientToolBox .sh CvcWsRaCli cvcprint SEDVCA00100001.pem SECVCA00100000_SEDVCA00100000.cacert.pem SECVCA00100000_SECVCA00100000.cacert.pem

Para automatizar la renovación de DVCA mediante la API de WS, utilice lo siguiente:

 $ . /ejbcaClientToolBox .sh EjbcaWsRaCli cacertrequest
 $ . /ejbcaClientToolBox .sh EjbcaWsRaCli cacertresponse

Para obtener más información, consulte Interfaz de servicio web .

Creación de certificados de enlace

La emisión de un certificado de enlace debe realizarse al renovarse un CVCA. Puede utilizarse para cambiar de CA por completo, nuevas claves, nuevos algoritmos y un nuevo país/mnemónico.

Al renovar una CA de verificación de país (CVCA) en la interfaz de administración de EJBCA, se crea automáticamente un certificado de enlace. Los requisitos de los certificados de enlace se especifican en la Política de certificación común para la infraestructura de control de acceso extendido para documentos de viaje y residencia (BSI TR-03139) . Al renovar una CVCA, se puede cambiar el algoritmo de firma. Tenga en cuenta que el identificador del algoritmo en el certificado de enlace corresponde al nuevo algoritmo, ya que este está vinculado a la clave pública, no a la firma del certificado, y el certificado de enlace está firmado por el certificado CVCA anterior, con el algoritmo especificado en la clave pública de dicho certificado.

También es posible crear manualmente certificados de enlace utilizando la herramienta CLI de clientToolBox .

$ . /ejbcaClientToolBox .sh PKCS11HSMKeyTool linkcert

Para crear certificados de enlace CVCA, se utiliza el mismo enfoque. Primero, renueve el CVCA (generando nuevas claves), lo que crea internamente un nuevo certificado CVCA autofirmado. Descargue el nuevo certificado CVCA autofirmado (por ejemplo, desde Funciones básicas). Después, puede crear un certificado de enlace especificando el nombre del CVCA en el campo de texto de Editar autoridades de certificación y haciendo clic en Firmar solicitud de certificado . Cargue el nuevo certificado CVCA y seleccione Usar clave anterior y Crear certificado de enlace .

Contenido relacionado

Página: CVC CA
Página: Creación de una CA DV y emisión de certificados del sistema de inspección
Página: Creación de una CA CVC