Parte 3a: Configuración de EJBCA

Las siguientes secciones cubren la administración de EJBCA e incluyen instrucciones sobre cómo crear una jerarquía de CA de 3 niveles, agregar extensiones de certificado personalizadas y cómo crear perfiles de certificado y perfiles de entidad final.

Paso 1: Crear una jerarquía de CA de 3 niveles

Las siguientes secciones cubren cómo crear una CA de 3 niveles (CA raíz, CA intermedia y CA emisora) utilizando almacenes de claves blandas.

Crear CA raíz

Siga los pasos a continuación para crear un token criptográfico de CA raíz, un perfil de certificado de CA raíz y luego el certificado de CA raíz.

Crear token criptográfico de CA raíz

Para crear tokens criptográficos para la CA raíz:

  1. En EJBCA, seleccione Crypto Tokens en Funciones de CA y luego haga clic en Crear nuevo .

  2. Especifique lo siguiente en la página Nuevo token criptográfico y haga clic en Guardar.

    • Nombre: como nombre para el token criptográfico, especifique "Token CA raíz".

    • Tipo= Suave .

    • Código de autenticación : Ingrese una contraseña para el token.

    • Activación automática : Borrar uso .

  3. Crea tres pares de claves dentro del Crypto Token:

    • Genere una signKey de tamaño RSA 4096, utilizada para la firma de certificados.

    • Genere una clave predeterminada de tamaño RSA 4096, utilizada para todo lo que no sea firmar o probar.

    • Genere una clave de prueba de tamaño RSA 1024, utilizada para pruebas.

Crear un perfil de certificado de CA raíz

Para crear un perfil de certificado de CA raíz:

  1. Haga clic en Perfiles de certificado en Funciones de CA.

  2. Clone el perfil ROOTCA para crear su propio perfil para la CA raíz:

    • Haga clic en Clonar junto al perfil ROOTCA.

    • Especifique “Perfil de certificado de CA raíz” y haga clic en Crear desde plantilla.

  3. Haga clic en Editar en el nuevo perfil de certificado de CA raíz y especifique lo siguiente:

    • Algoritmos clave disponibles : RSA.

    • Longitudes de broca disponibles: 4096.

    • Validez: 25 años.

    • Orden de DN LDAP : borrar (para obtener el orden de DN X509) para una mayor compatibilidad con sistemas que usan certificados.

    • CA disponibles: Cualquier CA.

  4. Haga clic en Guardar para guardar el perfil de CA raíz.

Crear un certificado de CA raíz

Para crear un certificado de CA raíz:

  1. Haga clic en Autoridades de certificación en Funciones de CA.

  2. En el campo Agregar CA , ingrese el nombre "CA raíz" y haga clic en Crear .

  3. En la página Crear CA, especifique lo siguiente y luego haga clic en Crear:

    • Algoritmo de firma: SHA256WithRSA.

    • Token criptográfico: Token CA raíz.

    • DN del sujeto: < RootCASubjectDN >.

    • Firmado por: Autofirmado.

    • Perfil de certificado: Perfil de certificado de CA raíz.

    • Validez: 25 años.

    • Punto de distribución de CRL: < http://crl.yourcompany.com/Root_CA.crl >.

    • URI del localizador de servicios OCSP: < http://yourocsp.company.com >.

Crear CA intermedio

Siga los pasos a continuación para crear un token criptográfico de CA intermedia, un perfil de certificado de CA intermedia y luego un certificado de CA intermedia.

Crear un token criptográfico CA intermedio

Para crear un token criptográfico CA intermedio:

  1. En EJBCA, seleccione Crypto Tokens en Funciones de CA y luego haga clic en Crear nuevo .

  2. Especifique lo siguiente en la página Nuevo token criptográfico y haga clic en Guardar.

    • Nombre: Como nombre para el token criptográfico, especifique "Token CA intermedio".

    • Tipo= Suave .

    • Código de autenticación : Ingrese una contraseña para el token.

    • Activación automática : Borrar uso .

  3. Crea tres pares de claves dentro del Crypto Token:

    • Genere una signKey de tamaño RSA 4096, utilizada para la firma de certificados.

    • Genere una clave predeterminada de tamaño RSA 4096, utilizada para todo lo que no sea firmar o probar.

    • Genere una clave de prueba de tamaño RSA 1024, utilizada para pruebas.

Crear un perfil de certificado de CA intermedio

Para crear un perfil de certificado de CA intermedio:

  1. Haga clic en Perfiles de certificado en Funciones de CA.

  2. Clone el perfil SUBCA para crear su propio perfil para la CA intermedia:

    • Haga clic en Clonar junto al perfil SUBCA.

    • Especifique “Perfil de certificado de CA intermedio” y haga clic en Crear desde plantilla.

  3. Haga clic en Editar en el nuevo perfil de certificado de CA intermedia y especifique lo siguiente:

    • Algoritmos clave disponibles : RSA.

    • Longitudes de broca disponibles: 4096.

    • Validez: 20 años.

    • Orden de DN LDAP : borrar (para obtener el orden de DN X509) para una mayor compatibilidad con sistemas que usan certificados.

    • CA disponibles: CA raíz.

  4. Haga clic en Guardar para guardar el perfil de certificado de CA intermedio.

Crear un certificado de CA intermedio

Para crear un certificado de CA intermedio:

  1. Haga clic en Autoridades de certificación en Funciones de CA.

  2. En el campo Agregar CA , ingrese el nombre "CA intermedia" y haga clic en Crear .

  3. En la página Crear CA, especifique lo siguiente y luego haga clic en Crear :

    • Algoritmo de firma: SHA256WithRSA.

    • Crypto Token: Token CA intermedio.

    • DN del sujeto: <IntermediateCASubjectDN >.

    • Firmado por: CA raíz.

    • Perfil de certificado: Perfil de certificado CA intermedio.

    • Validez: 20 años.

    • Punto de distribución de CRL: < http://crl.yourcompany.com/Intermediate_CA.crl >.

    • URI del localizador de servicios OCSP: < http://ocsp.yourcompany.com >.

Crear CA emisora

Crear un token criptográfico de CA emisor

Para crear un token criptográfico de CA emisora:

  1. En EJBCA, seleccione Crypto Tokens en Funciones de CA y luego haga clic en Crear nuevo .

  2. Especifique lo siguiente en la página Nuevo token criptográfico y haga clic en Guardar.

    • Nombre: como nombre para el token criptográfico, especifique "Token CA emisor".

    • Tipo= Suave .

    • Código de autenticación : Ingrese una contraseña para el token.

    • Activación automática : Borrar uso .

  3. Crea tres pares de claves dentro del Crypto Token:

    • Genere una signKey de tamaño RSA 4096, utilizada para la firma de certificados.

    • Genere una clave predeterminada de tamaño RSA 4096, utilizada para todo lo que no sea firmar o probar.

    • Genere una clave de prueba de tamaño RSA 1024, utilizada para pruebas.

Crear un perfil de certificado de CA emisora

Para crear un perfil de certificado de CA emisora:

  1. Haga clic en Perfiles de certificado en Funciones de CA.

  2. Clone el perfil SUBCA para crear su propio perfil para la CA emisora:

    • Haga clic en Clonar junto al perfil SUBCA .

    • Especifique “Perfil de certificado de CA emisora” y haga clic en Crear desde plantilla.

  3. Haga clic en Editar en el nuevo perfil de certificado de CA emisora y especifique lo siguiente:

    • Algoritmos clave disponibles : RSA.

    • Longitudes de broca disponibles: 4096.

    • Validez: 15 años.

    • Orden de DN LDAP : borrar (para obtener el orden de DN X509) para una mayor compatibilidad con sistemas que usan certificados.

    • CA disponibles: CA intermedia.

  4. Haga clic en Guardar para guardar el perfil del certificado de CA emisora.

Crear un certificado de CA emisor

Para crear un certificado de CA emisora:

  1. Haga clic en Autoridades de certificación en Funciones de CA.

  2. En el campo Agregar CA , ingrese el nombre "CA emisora" y haga clic en Crear .

  3. En la página Crear CA, especifique lo siguiente y luego haga clic en Crear :

    • Algoritmo de firma: SHA256WithRSA.

    • Crypto Token: Emisión de token CA.

    • DN del sujeto: <IssuingCASubjectDN >.

    • Firmado por: CA Intermedio.

    • Perfil de certificado: Perfil de certificado de CA emisora.

    • Validez: 15 años.

    • Punto de distribución de CRL: < http://crl.yourcompany.com/Issuing_CA.crl >.

    • URI del localizador de servicios OCSP: < http://ocsp.yourcompany.com >.

Paso 2: Crear extensiones de certificado personalizadas

La extensión de información de plantilla de certificado de Microsoft contiene el OID y la revisión de la plantilla utilizada para emitir el certificado. Para crear la extensión personalizada, siga estos pasos:

  1. En EJBCA, haga clic en Configuración del sistema.

  2. Seleccione la pestaña Extensiones de certificado personalizadas y especifique lo siguiente:

    • Identificador de objeto (OID) : "1.3.6.1.4.1.311.21.7".

    • Etiqueta: "Información de plantilla de certificado".

  3. Haga clic en Agregar .

  4. Haga clic en Editar en el objeto agregado y especifique lo siguiente:

    • Seleccione la codificación = DEROBJECT

    • Establezca Dinámico en verdadero.

  5. Haga clic en Guardar.

Paso 3: Crear perfiles de certificado de inscripción automática de usuarios y equipos

A continuación se describe cómo crear perfiles de usuario y de computadora para la inscripción automática .

Crear un perfil de certificado para la inscripción automática de usuarios

Para crear un perfil de certificado para la inscripción automática de usuarios:

  1. Haga clic en Perfiles de certificado en Funciones de CA.

  2. Clone el perfil ENDUSER para crear su propio perfil para la CA intermedia:

    • Haga clic en Clonar junto al perfil USUARIO FINAL .

    • Especifique “User_Certificate_Profile” y haga clic en Crear desde plantilla.

  3. Haga clic en Editar en el nuevo User_Certificate_Profile y especifique lo siguiente:

    • Uso de la clave : firma digital, no repudio y cifrado de clave.

    • Uso extendido de clave : autenticación de cliente, protección de correo electrónico y sistema de archivos cifrados de MS (EFS).

    • Extensiones de certificado personalizadas usadas : Información de plantilla de certificado.

    • CA disponibles : CA emisora.

  4. Haga clic en Guardar para guardar el perfil del certificado.

Crear un perfil de certificado para la inscripción automática de computadoras

Para crear un perfil de certificado para la inscripción automática de computadoras:

  1. Haga clic en Perfiles de certificado en Funciones de CA.

  2. Clone el perfil ENDUSER para crear su propio perfil para la CA intermedia:

    • Haga clic en Clonar junto al perfil USUARIO FINAL .

    • Especifique “Computer_Certificate_Profile” y haga clic en Crear desde plantilla.

  3. Haga clic en Editar en el nuevo Computer_Certificate_Profile y especifique lo siguiente:

    • Uso de la clave : Firma digital y cifrado de clave.

    • Uso extendido de clave : autenticación de cliente y autenticación de servidor.

    • Extensiones de certificado personalizadas usadas : Información de plantilla de certificado.

    • CA disponibles : CA emisora.

  4. Haga clic en Guardar para guardar el perfil del certificado.

Paso 4: Crear perfiles de entidad final de inscripción automática de usuarios y computadoras

A continuación se describe cómo crear perfiles de entidad final de inscripción automática de usuarios y computadoras.

Crear perfil de entidad final para la inscripción automática de usuarios

Para crear un perfil de entidad final para la inscripción automática de usuarios:

  1. Haga clic en Perfiles de entidad final en Funciones de RA .

  2. En el campo Agregar perfil , especifique User_End_Entity_Profile y haga clic en Agregar .

  3. Seleccione User_End_Entity_Profile, haga clic en Editar perfil de entidad final y especifique lo siguiente:

    • Atributos DN del sujeto : CN.

    • Nombre alternativo del sujeto : MS UPN, nombre principal del usuario.

    • Perfil de certificado predeterminado : User_Certificate_Profile.

    • Perfiles de certificado disponibles : User_Certificate_Profile.

    • CA predeterminada : CA emisora.

    • CA disponibles : CA emisora.

    • Token predeterminado : generado por el usuario.

    • Tokens disponibles : generados por el usuario.

  4. Haga clic en Guardar para almacenar el perfil de entidad final.

Crear perfil de entidad final para la inscripción automática de computadoras

Para crear un perfil de entidad final para la inscripción automática de computadoras:

  1. Haga clic en Perfiles de entidad final en Funciones de RA .

  2. En el campo Agregar perfil , especifique Computer_End_Entity_Profile y haga clic en Agregar .

  3. Seleccione Computer_End_Entity_Profile, haga clic en Editar perfil de entidad final y especifique lo siguiente:

    • Atributos DN del sujeto : CN.

    • Nombre alternativo del sujeto : Nombre DNS.

    • Perfil de certificado predeterminado : Computer_Certificate_Profile.

    • Perfiles de certificado disponibles : Computer_Certificate_Profile.

    • CA predeterminada : CA emisora.

    • CA disponibles : CA emisora.

    • Token predeterminado : generado por el usuario.

    • Tokens disponibles : generados por el usuario.

  4. Haga clic en Guardar para almacenar el perfil de entidad final.

Siguiente: Configuración del servidor de políticas EJBCA

A continuación, configure EJBCA como un servidor de políticas para la inscripción automática, consulte la Parte 3b: Configuración del servidor de políticas EJBCA .