Configuración de un editor par de autoridad de validación

EMPRESA Esta es una característica de EJBCA Enterprise.

A continuación, se explica cómo configurar un publicador de pares de una autoridad de validación (AV). Un publicador de pares de AV publica información de revocación de la CA a una AV mediante el protocolo de pares .

Para obtener más información sobre el editor par de autoridad de validación (VA), consulte Editor par de autoridad de validación y para obtener información general sobre los editores, consulte Descripción general de editores .

    Prerrequisitos

    Las siguientes instrucciones suponen que lo siguiente ya está en su lugar:

    Paso 1 - Crear el editor

    Para agregar un editor:

    1. En la instancia de CA, haga clic en Editores en Funciones de CA para abrir la página Administrar editores .

      imágenes/descargar/archivos adjuntos/108529898/Captura de pantalla_2020-12-17_a_14.21.55.png

    2. En el campo Agregar editor , ingrese el nombre de un editor y haga clic en Agregar .

    Esto creará un nuevo publicador, que de forma predeterminada será un publicador LDAP.

    Paso 2: Configurar el editor

    Para configurar el editor:

    1. Desde la Lista de editores, seleccione el editor recién creado y haga clic en Editar editor .

    2. En la página Editar publicador, en el campo Tipo de publicador , seleccione Autoridad de validación Publicador par .
      imágenes/descargar/archivos adjuntos/108529898/Captura de pantalla_2020-12-17_a_14.41.27.png

    3. Para operaciones de publicación generales, puede usar los valores predeterminados. Sin embargo, asegúrese de que la Conexión de par saliente correcta esté seleccionada como Sistema de par .

      imágenes/descargar/archivos adjuntos/108529898/Captura de pantalla_2020-12-17_a_14.43.52.png

    4. Haga clic en Guardar y probar conexión para realizar la validación de entrada.

    Paso 3: Configurar la CA emisora

    Una vez guardado y probado el editor, actualice la configuración de la CA emisora:

    1. Haga clic en Autoridades de certificación en Funciones de CA.

    2. Haga clic en Editar en cualquier CA desde la que desee publicar.

    3. En Datos específicos de CRL , en el campo Editores , seleccione el editor creado.

      imágenes/descargar/archivos adjuntos/108529898/Captura de pantalla_2020-12-17_a_15.38.32.png

    Paso 4: Configurar el VA para aceptar la publicación

    En el lado de VA, debe configurarse para aceptar la conexión de la CA y permitirle escribir certificados y CRL en su base de datos.

    Habilitar conexiones entrantes en el nodo VA

    En el nodo VA, haga clic en Sistemas pares en Funciones del sistema y haga clic en Permitir conexiones entrantes.

    imágenes/descargar/archivos adjuntos/108529898/Captura de pantalla_2020-12-17_a_15.41.14.png

    Contacte al nodo VA desde la CA

    1. En el nodo CA, haga clic en Sistemas pares en Funciones del sistema y debería ver el par saliente habilitado y activo según la configuración anterior.

      imágenes/descargar/archivos adjuntos/108529898/Captura de pantalla_2020-12-17_a_15.41.26.png

    2. A continuación, para ponerse en contacto con el VA y avisarle que hay una solicitud de conexión entrante, haga clic en Ping para el par saliente.

    3. Esto generará el siguiente mensaje de error esperado, lo que significa que la CA puede comunicarse con la VA y está autenticada a través de la vinculación de clave de autenticación, pero no está autorizada a realizar ninguna operación.

    imágenes/descargar/archivos adjuntos/108529898/Captura de pantalla_2020-12-17_a_15.41.02.png

    Autorizar la conexión entrante en el VA

    Volviendo a la página de Sistemas pares en el VA ( Funciones del sistema > Sistemas pares ), ahora hay una solicitud de conexión entrante en espera:

    imágenes/descargar/archivos adjuntos/108529898/Captura de pantalla_2020-12-17_a_15.41.34.png

    Dado que EJBCA requiere autenticación incluso para procesos internos entre nodos (para reforzar la seguridad del dominio y permitir la multi-inquilino), es necesario crear un rol que coincida con el certificado definido en la clave de autenticación de la CA. Para crear un rol:

    1. Haga clic en Crear rol en la conexión entrante.

    2. A continuación, seleccione un rol existente o cree uno nuevo:

      • Si ya tiene un rol preparado con las autorizaciones requeridas, no dude en seleccionarlo y el certificado TLS en el enlace de clave de autenticación se agregará a ese rol.

      • Para crear un nuevo rol, seleccione Crear nuevo rol y haga clic en Seleccionar.
         imágenes/descargar/archivos adjuntos/108529898/Captura de pantalla_2020-12-17_a_15.41.43.png

    3. Nombre el rol y asegúrese de que tenga permiso para publicar y renovar su certificado.

      imágenes/descargar/archivos adjuntos/108529898/Captura de pantalla_2020-12-17_a_15.49.11.png

    4. Haga clic en Crear nuevo rol y su rol se generará automáticamente con las reglas de acceso requeridas habilitadas.

    5. Al regresar a la página de descripción general de sistemas pares , ahora puede ver que la conexión entrante está completamente autorizada y en línea.

      imágenes/descargar/archivos adjuntos/108529898/Captura de pantalla_2020-12-17_a_15.49.52.png

    La configuración de VA Peer Publisher ahora está completa y todas las CRL, revocaciones (y certificados, si están configurados) se escribirán automáticamente en el VA después de ser emitidos en la CA.