Autorregistro

El autorregistro en la Web Pública, como se describe aquí, está obsoleto. Se puede configurar mejor en la Web de RA mediante un rol con un token de acceso público.

Es posible permitir que los usuarios de la web pública creen solicitudes de aprobación para nuevas entidades finales (en "Solicitar Registro"). La elección del tipo de entidad final y los campos DN por parte de los usuarios está restringida; por ejemplo, podría limitarse a certificados de usuario final, con solo los campos de nombre y correo electrónico disponibles. Un administrador puede verificar los campos DN.

Tenga en cuenta las siguientes propiedades de la solución básica:

  1. El proceso de aprobación verifica la creación de la cuenta de la entidad final.

  2. El proceso de aprobación no verifica la vinculación de la clave pública CSR a una entidad final específica.

Los posibles usos del autorregistro incluyen un conjunto casi ilimitado de casos de uso. La solución predeterminada es adecuada y configurable para un amplio conjunto de estos casos de uso y puede funcionar como plataforma para personalizar otros casos de uso más especializados. La personalización de los flujos de trabajo de autorregistro es un proceso bastante sencillo.

Configuración

La configuración del autorregistro consta de tres pasos: crear los perfiles de entidad final y certificado que deben estar disponibles, configurar las notificaciones por correo electrónico y configurar el autorregistro en web.properties. Primero, se debe crear al menos un perfil de entidad final, como se indica a continuación:

  • Se deben agregar los campos SubjectDN y SubjectAltName que deben estar disponibles. Los campos marcados como modificables se pueden modificar libremente; de lo contrario, el usuario solo puede seleccionar valores predefinidos. Consulte la Guía de operaciones de EJBCA para obtener más información.

  • El correo electrónico del usuario se puede verificar enviándole una contraseña generada automáticamente (aunque esta no es la única forma de verificarlo). El campo de dominio del correo electrónico debe estar habilitado con la casilla "Usar" y las contraseñas generadas automáticamente deben estar habilitadas. Opcionalmente, el campo de dominio puede restringirse a opciones específicas; consulte la sección de la guía del usuario sobre perfiles de entidad final.

  • La validación de correo electrónico funciona enviando la contraseña en un mensaje de notificación. Por este motivo, debe estar activada la opción "Enviar notificación" (marque "Usar" y "Predeterminado") y los demás campos de notificación que aparecen debajo deben estar completados. Consulte la sección sobre notificaciones por correo electrónico .

  • De forma predeterminada, se le solicitará al usuario que complete el nombre de usuario, pero el nombre de usuario también puede generarse desde un campo en el perfil de la entidad final, como CN (nombre común), consulte a continuación.

    Tenga en cuenta que enviar una contraseña por correo electrónico no es la única opción. Por ejemplo, puede usar varias notificaciones donde se envía un enlace de registro al usuario, pero la contraseña se envía a un administrador, o un servicio de entrega fuera de banda (a través del correo electrónico local), o imprimirla en papel. Las soluciones son altamente configurables y adaptables.

El envío de correo electrónico debe configurarse para que EJBCA pueda enviar correos electrónicos a través del servidor de aplicaciones. También puede habilitar notificaciones a los administradores cuando haya nuevas solicitudes de aprobación, en Funciones del sistema / Configuración del sistema.

Para que los perfiles de entidad final estén disponibles en la interfaz de usuario, los tipos de certificado deben añadirse a web.properties mediante las propiedades web.selfreg.certtypes. <identifier> .* (el identificador puede elegirse arbitrariamente). Cada tipo de certificado define un perfil de entidad final y un perfil de certificado, así como el nombre que debe mostrarse en la interfaz de usuario. Si el nombre de usuario debe generarse a partir de un campo, esto puede configurarse mediante la subpropiedad usernamemapping. Finalmente, para habilitar el autorregistro, la propiedad web.selfreg.enabled debe establecerse en "true".

Tenga en cuenta que las solicitudes de aprobación se mostrarán en la interfaz gráfica de administración como provenientes de una herramienta de línea de comandos . Esto es normal, ya que todas las acciones que no son iniciadas por un administrador se muestran como provenientes de la línea de comandos.