Operaciones de roles y reglas de acceso

A continuación se describe cómo trabajar con roles y reglas de acceso.

Para obtener más información sobre los conceptos generales, consulte Descripción general de roles y reglas de acceso .

Administración de espacios de nombres de roles

Los espacios de nombres se utilizan para crear una partición entre conjuntos de roles y así reducir el riesgo de asignar por error a un administrador de una organización a un rol de otra. Consulte Administración de espacios de nombres de roles .

Creando un nuevo administrador

Siga los pasos a continuación para crear un nuevo certificado de administrador, agregar este administrador a un rol y probar el acceso.

Creación de un perfil de certificado para el administrador

Siga los pasos a continuación para crear un nuevo perfil de certificado para administradores. Los certificados de administrador serán emitidos por una CA llamada ManagementCA.

  1. En Funciones de CA , haga clic en Perfiles de certificado .

  2. Haga clic en Clonar para el perfil llamado ENDUSER .

  3. Ingrese AdministratorEndEntityCertificateProfile como el nuevo nombre y haga clic en Crear desde plantilla .

  4. Haga clic en Editar para el nuevo perfil.

  5. En Validez , ingrese 365d (1 año de validez).

  6. En Uso de clave , seleccione Firma digital y Cifrado de clave (Ctrl+clic para seleccionar varias).

  7. Borrar Permitir uso de clave anulada .

  8. Seleccione Utilizar uso extendido de clave .

  9. En Uso de clave extendida , seleccione Autenticación de cliente .

  10. En Longitudes de bits disponibles , "1024 bit", "2048 bit" y "4096 bit".

  11. En CA disponibles , seleccione ManagementCA (la CA que utiliza para emitir certificados de administrador).

  12. Haga clic en Guardar .

Creación de un perfil de entidad final para el administrador

Siga los pasos a continuación para crear un nuevo perfil de entidad final para administradores. El perfil se conectará al perfil de certificado creado anteriormente.

  1. En Funciones de RA , haga clic en Editar perfiles de entidad final .

  2. Ingrese un nombre para su perfil de entidad final, AdministratorEndEntityProfile .

  3. Haga clic en Crear .

  4. Seleccione AdministratorEndEntityProfile y haga clic en Editar perfil de entidad final .

  5. En Campos DN del sujeto , agregue campos DN para el DN del administrador, por ejemplo , O , UID y C.

  6. En Perfil de certificado predeterminado , seleccione AdministratorEndEntityCertificateProfile .

  7. En Perfiles de certificado disponibles , seleccione AdministratorEndEntityCertificateProfile .

  8. En CA predeterminada , seleccione ManagementCA .

  9. En CA disponibles , seleccione ManagementCA .

  10. Haga clic en Guardar .

Emita la siguiente nueva entidad final en función del nuevo perfil de entidad final: CN: SoftCard RA Admin1 .

Creación de un nuevo rol de RA

Siga los pasos a continuación para crear un rol de administrador de RA con acceso para agregar/enumerar/editar entidades finales:

  1. En Funciones del sistema, haga clic en Roles de administrador .

  2. Haga clic en Agregar .

  3. Elija un nombre para su nuevo grupo de administradores, RAAdministratorRole .

  4. Cuando se crea el grupo, haga clic en Reglas de acceso .

  5. Elija la plantilla de rol de administrador de RA .

  6. En CA autorizadas , elija a qué CA debe tener acceso el rol y seleccione ManagementCA .

  7. En Editar perfiles de entidad final , seleccione AdministratorEndEntityProfile .

  8. Haga clic en Guardar .

Agregar nuevos administradores al rol de RA

Siga los pasos a continuación para agregar nuevos administradores al rol de RA:

  1. Seleccione Buscar > Editar entidades finales y seleccione la entidad final recién creada, elija Ver certificados .

  2. Copie el valor del número de serie del certificado , por ejemplo, 5F003A0113F507F9 .

  3. Vaya a Roles de administrador , haga clic en Administradores en RAAdministratorRole .

  4. Seleccione la CA a la que pertenece el administrador, ManagementCA .

  5. Pegue el texto de < en el valor de coincidencia .

  6. Haga clic en Agregar .

En EJBCA Enterprise Edition, también es posible agregar un nuevo administrador a un rol existente mediante la llamada de API de WS addSubjectToRole en su aplicación o con la CLI de servicios web.

Pruebe el nuevo Administrador

Inicie sesión con los nuevos administradores para ver las diferencias entre ellos y el superadministrador. Además, pruebe los distintos roles y privilegios para ver las diferencias entre ellos.

Los privilegios de autorización se almacenan en caché y habrá una pequeña demora antes de que se utilice un cambio de regla.

Renovación del Superadministrador

La renovación del certificado de SuperAdmin se realiza de la misma manera que la de cualquier certificado de cliente. Puede restablecer sus credenciales de SuperAdmin cuando caduquen mediante la interfaz gráfica de usuario (GUI) o la CLI.

El certificado SuperAdmin normalmente se emite como un almacén de claves PKCS#12, si no se emite como un certificado de navegador para la inscripción de tarjetas inteligentes.

Renovación de SuperAdmin mediante la interfaz gráfica de usuario de administración

Para renovar SuperAdmin mediante la GUI de administración, haga lo siguiente:

  1. Vaya a Buscar/Editar entidades finales y busque el usuario superadmin.

  2. Haga clic en Editar entidad final .

  3. Establezca una nueva contraseña y establezca el estado en NUEVO, haga clic en Guardar.

  4. Vaya a EJBCA RA Web y haga clic en Usar nombre de usuario.

  5. Ingrese el nombre de usuario superadmin y la contraseña establecida en el paso 3.

  6. En la siguiente pantalla, seleccione la longitud de clave 2048 y haga clic en Aceptar.

Se ha descargado tu nuevo almacén de claves de superadministrador y puedes instalarlo en tu navegador.

Renovación de SuperAdmin mediante la CLI

Para renovar SuperAdmin mediante la CLI, haga lo siguiente:

  1. Acceda a la CLI de su servidor EJBCA.

  2. Ejecute lo siguiente para restablecer el estado de la entidad final SuperAdmin.

    bin/ejbca.sh ra setendentitystatus superadmin 10

  3. Ejecute lo siguiente para restablecer la contraseña. Esta contraseña se utiliza para proteger el archivo superadmin.p12 y se establece como contraseña en el siguiente ejemplo:

    bin/ejbca.sh ra setclearpwd superadmin password

  4. Ejecute lo siguiente para procesar la solicitud desde la CLI. El comando por lotes envía el archivo al directorio /ejbca/p12.

    bin/ejbca.sh batch

El nuevo almacén de claves de SuperAdmin se genera y almacena en el subdirectorio /ejbca/p12. La contraseña se establece según lo especificado con el comando setclearpwd en el paso 3 anterior.

Uso de certificados de cliente emitidos por CA externas

Los certificados de administrador en EJBCA pueden ser emitidos por una CA distinta a la de la misma instalación. Esto puede ser útil, por ejemplo, si desea utilizar un ID nacional para la administración de una PKI organizacional.

Para utilizar un certificado emitido por una CA externa como Administrador, haga lo siguiente:

  1. Agregue el certificado CA a p12/truststore.jks con

    keytool - import -trustcacerts -file externalca.pem -keystore p12/truststore.jks -storepass changeit -alias externalca

  2. Vuelva a implementar el almacén de confianza EJBCA mediante ant deploy-keystore y reinicie el servidor de aplicaciones para asegurarse de que el nuevo almacén de confianza esté en uso

  3. Importe el certificado de CA en Interfaz de CA > Autoridades de certificación > Importar certificado de CA o utilice la CLI.

  4. Agregue el administrador al rol deseado en CA UI > Roles de administrador .

  5. Para permitir que los administradores inicien sesión cuando sus certificados no están presentes en la base de datos EJBCA, configure web.reqcertindb=false en conf/web.properties .

Instalación de EJBCA con administradores externos

Puede instalar una instancia EJBCA desde cero, con un certificado de una CA externa como certificado SuperAdmin inicial.

Comience implementando EJBCA como de costumbre con ant deploy , pero en lugar de ejecutar ant install , ejecute lo siguiente para importar el certificado de la CA de administración externa e inicializar el sistema de autorización de EJBCA:

bin/ejbca.sh ca importcacert ManagementCA ManagementCA.cacert.pem -initauthorization -superadmincn SuperAdmin

Debe configurar TLS y el almacén de confianza del servidor de aplicaciones usted mismo, o si tiene p12/tomcat.jks y p12/truststore.jks, esto se puede hacer automáticamente en JBoss mediante ant deploy-keystore de la misma manera que se configura TLS como se describe en Servidores de aplicaciones .

El administrador inicial configurado tiene el DN CN=SuperAdmin , pero puede cambiarlo con el comando -superadmincn (ejecute bin/ejbca.sh ca importcacert para consultar la documentación). También puede ejecutar el comando bin/ejbca.sh admins para obtener información sobre cómo configurar otros administradores.

Una vez ejecutado este comando y configurado correctamente TLS, podrá iniciar sesión en EJBCA y crear sus CA en la interfaz de CA. No se crea ninguna CA inicial.