Configuración de protocolo modular

EJBCA admite múltiples protocolos para la inscripción de certificados, el estado y los servicios web. Los protocolos y servicios pueden deshabilitarse por separado en cada instancia de EJBCA para reducir la superficie de ataque. Por ejemplo, una instancia que actúa como respondedor OCSP probablemente no necesite protocolos de inscripción, por lo que estos protocolos podrían deshabilitarse para esa instancia. Cualquier solicitud a un protocolo o servicio deshabilitado se rechaza inmediatamente y se devuelve un código de error.

Configuración local

Se pueden deshabilitar los siguientes protocolos y servicios:

  • ACME: Protocolo ACME /ejbca/acme

  • Certstore: servlet de almacén de certificados /certificates

  • CMP: servlet de protocolo CMP /ejbca/publicweb/cmp

  • CRLstore: servlet de almacén de CRL /crls

  • EST: servlet de protocolo EST /.well-known/est

  • OCSP: Servlet OCSP /ejbca/publicweb/status/ocsp

  • Web pública: toda la funcionalidad de la web pública /ejbca
    imágenes/s/-2y7bau/8703/189cb2l/_/imagenes/iconos/emoticonos/advertencia.svg La Web pública está obsoleta a partir de EJBCA 7.9 y ya no será compatible a partir de la próxima versión principal de EJBCA.

  • REST: Todos los recursos REST /ejbca/ejbca-rest-api

  • SCEP: servlet del protocolo SCEP /ejbca/publicweb/apply/scep

  • Webdist: servlet de distribución web /ejbca/publicweb/webdist

  • Servicio web: todas las llamadas a servicios web que requieren autenticación /ejbca/ejbcaws

Todos los protocolos y servicios configurables agregados antes de EJBCA 6.11.0 están habilitados de forma predeterminada.

Para deshabilitar o volver a habilitar protocolos mediante la GUI de administración:

  1. Vaya a GUI de administración>Configuración del sistema .

  2. Seleccione la pestaña Configuración de protocolo .

  3. Habilitar o deshabilitar el protocolo o servicio deseado.

Configuración de protocolo a través de pares

Además de deshabilitar protocolos localmente por instancia, un administrador puede deshabilitar protocolos para cada conexión Peer saliente usando reglas de acceso, lo que hace posible controlar el acceso al protocolo de instancias remotas.

Deshabilitar un protocolo localmente o para una conexión entre pares siempre anulará la configuración habilitada. Por ejemplo, si una RA externa tiene los servicios web deshabilitados localmente y la conexión entre pares saliente de la CA los tiene configurados como Permitidos , cualquier llamada a un servicio web a la RA externa será rechazada.

Actualmente, solo las instancias externas que utilizan proxy de RA y los protocolos que lo admiten (ACME, CMP, EST, REST, SCEP y servicios web) se pueden configurar remotamente mediante reglas de acceso (es decir, RA externas). En una instancia de VA conectada a un par, los protocolos solo se pueden deshabilitar localmente en esa instancia.

Para configurar protocolos para una conexión de par saliente mediante la GUI de administración:

  1. Vaya a GUI de administración>Sistemas pares .

  2. Seleccione solicitudes autorizadas para el par saliente (primero se debe habilitar el par)

  3. En Procesar solicitudes de protocolos , seleccione para habilitar protocolos o desmarque para deshabilitarlos.

Todos los protocolos implementados antes de EJBCA 6.11.0 están habilitados de forma predeterminada para los pares salientes. Las reglas de acceso para /protocol/* solo se aplican a los roles de conector de pares. Denegar un protocolo a un administrador específico no tiene ningún efecto.