Descripción general de los editores
EJBCA ofrece compatibilidad modular con publicadores. Un publicador puede ser cualquier fuente externa a la que se desee enviar certificados emitidos y CRL para su almacenamiento.
Para obtener más información sobre cómo configurar editores, consulte Administración de editores .
La arquitectura del editor es modular y es posible implementar editores personalizados que se pueden integrar y configurar en la interfaz de usuario de CA.
Tenga en cuenta que una vez creados, los publicadores deben seleccionarse en una CA (publicar certificado de CA y CRL) o en un perfil de certificado (publicar certificados emitidos) para que estén activos; consulte Administración de publicadores .
Reglas de acceso del editor
El administrador presunto de los publicadores es el rol de administrador de CA integrado, o más específicamente, un rol con acceso a /ca_functionality/edit_publishers . Además, solo los siguientes publicadores estarán disponibles para un rol determinado:
Editores asignados a una CA a la que el rol tiene acceso.
Editores no asignados a ninguna CA.
EDICIÓN ENTERPRISE Autoridad de validación Editores pares, dado que el rol tiene acceso a /peer/view
A continuación se describen los editores integrados.
Cola de editores y fallos
Para lograr una publicación robusta, existe una cola de publicadores. Cuando un publicador falla, los datos publicados se almacenan en una tabla independiente de la base de datos, PublisherQueueData. Esta cola puede ser procesada por un servicio (véase Servicio de Procesamiento de Cola de Publicadores ).
Los publicadores también pueden configurarse para que no publiquen directamente, sino que almacenen todo en la cola, que se procesa posteriormente. La ventaja de este enfoque es que la publicación es instantánea. Al emitir certificados, la CA no tiene que esperar a que todos los publicadores terminen. Si hay muchos publicadores, esto podría retrasar ligeramente el proceso de emisión.
Con la configuración "Publicación directa segura" habilitada, el comportamiento es similar al de la publicación directa. Sin embargo, la entrada se almacenará en la cola antes de la publicación, hasta que se verifique que la transacción de inscripción se ha realizado correctamente. Esto garantiza la integridad de los datos entre las máquinas locales y de destino en caso de una reversión de la transacción u otras interrupciones inesperadas. En comparación con la publicación directa simple, esto implica una ligera reducción del rendimiento de la inscripción. La publicación directa segura solo funciona con una o más de las colas seleccionadas : "Usar cola para CRL" , "Usar cola para certificados" y " Usar cola para respuestas OCSP" .
Las siguientes listas son las configuraciones de editor disponibles:
Configuración | Descripción |
Longitud actual | Muestra el número de nuevas entradas en la cola en los intervalos <1 min, 1-10 min, 10-60 min y >60 min. |
Sin publicación directa, solo uso de cola | Cuando está habilitado, el publicador no intenta publicar directamente, sino que envía la actualización a la cola para su posterior procesamiento por un Servicio de Proceso de Cola de Publicación. Dado que el Servicio de Proceso de Cola de Publicación no necesita ejecutarse en los mismos nodos que reciben tráfico externo, esto permite delegar la publicación a otros nodos (con el coste de una publicación retrasada). |
Utilice la publicación directa segura | Cuando esta opción está habilitada, el publicador almacena temporalmente la entrada en la cola de publicadores hasta que la transacción se verifique como correcta, antes de publicarla. Esto permite la publicación casi en tiempo real, pero solo de eventos registrados correctamente en la CA. Se recomienda comenzar con esta opción. |
Mantener los elementos publicados correctamente en la base de datos | Cuando está habilitado, los elementos almacenados en la cola del editor no se eliminarán cuando se haya realizado la publicación real, el estado simplemente cambiará de PENDIENTE a ÉXITO. No se recomienda dejar esta opción activada cuando se publica mucho. Resulta útil para solucionar problemas de publicación o si se requiere auditar lo publicado en PKI más pequeñas. |
Usar cola para CRL | Determina si la cola de publicadores debe gestionar las CRL de este publicador. Si la publicación directa falla, la CRL emitida se almacena en la cola. Si esta opción no está habilitada, la CRL emitida no se publica cuando falla la publicación directa. |
Usar cola para certificados | Determina si la cola de editores debe gestionar certificados para este editor. Si la publicación directa falla, el certificado emitido se almacena en la cola. Si esta opción no está habilitada, el certificado emitido no se publica cuando falla la publicación directa. |
Usar cola para respuestas OCSP | Determina si la cola del publicador debe gestionar las respuestas de OCSP para este publicador. Si la publicación directa falla, la respuesta de OCSP se almacena en la cola. Si esta opción no está habilitada, la respuesta de OCSP no se publica cuando falla la publicación directa. |
Los intentos de publicación fallidos no se eliminan de la cola, sino que permanecerán allí y se realizarán hasta 20 000 intentos por llamada al servicio de proceso de cola de publicación, en lotes de 100 entradas de cola a la vez.