Firma de una CA externa

En algunos casos, podría ser conveniente que una de sus CA firme a otra CA externa. Esto suele realizarse siguiendo estos pasos:

Suponiendo que tanto su CA como la CA externa utilizan EJBCA, la configuración se realiza como se describe en los siguientes pasos.

Paso 1: Crear perfiles en su máquina CA

Se recomienda crear un perfil de certificado dedicado y un perfil de entidad final para la CA externa en su equipo de CA, en lugar de usar los perfiles integrados. La ventaja es una mayor flexibilidad y mejores funciones de gestión.

Para crear un perfil de certificado y un perfil de entidad final en su máquina CA, haga lo siguiente:

  1. Vaya a la Web de CA y seleccione la opción de menú Funciones de CA > Perfiles de certificado .

  2. Agregue un nuevo perfil de certificado y utilice “Sub CA” como plantilla seleccionando la opción Tipo Sub CA.

  3. En la lista de CA disponibles , seleccione la CA que va a firmar la CSR.

    imágenes/descargar/archivos adjuntos/143730096/disponible_cas.png



  4. Realice ajustes adicionales según sea necesario y guarde el perfil del certificado.

  5. Seleccione la opción de menú Perfiles de entidad final .

  6. Cree un nuevo perfil de entidad final. Seleccione el perfil de certificado recién creado, la CA que firmará la CSR y seleccione "Generado por el usuario" como tipo de token.

    imágenes/descargar/archivos adjuntos/143730096/end_entity_profile.png



  7. Realice ajustes adicionales según sea necesario y guarde el perfil de entidad final.

Paso 2: Agregar entidad final

Para agregar una entidad final en su máquina CA, haga lo siguiente:

  1. En la Web de RA , seleccione la opción de menú Inscribirse > Realizar nueva solicitud .

  2. Agregue una nueva entidad final utilizando el perfil de entidad final que creó en el Paso 1 anterior: Crear perfiles en su máquina CA.

    imágenes/descargar/archivos adjuntos/143730096/Captura de pantalla_2022-04-06_a_10.12.40.png

Paso 3: Crear CSR

Para crear una CSR en la máquina de CA externa, haga lo siguiente:

  1. En la máquina de CA externa, vaya a la Web de CA, seleccione la opción de menú Funciones de CA > Autoridades de certificación , ingrese Sub CA en el campo Agregar CA y luego haga clic en Crear .

  2. Para convertir esta CA en una CA firmada externamente, seleccione la opción Firmado por CA externa .

    imágenes/descargar/archivos adjuntos/143730096/signed_by.png



  3. Para guardar la CA y crear una CSR, haga clic en Realizar solicitud de certificado .

    imágenes/descargar/archivos adjuntos/143730096/make_certificate_request.png

  4. Guarde el CSR, por ejemplo, en una memoria USB y transfiéralo a su máquina CA.

Paso 4: Firmar la CSR y emitir el certificado de CA

Para firmar la CSR y emitir el certificado de CA utilizando la CA adecuada en su máquina de CA, haga lo siguiente:

  1. Vaya a RA Web en su máquina CA y seleccione la opción de menú Inscribirse > Usar nombre de usuario .

    imágenes/descargar/archivos adjuntos/143730096/Captura de pantalla_2022-04-06_a_10.18.32.png



  2. Inscríbase con el nombre de usuario y el código de inscripción que especificó al agregar la entidad final. Luego, guarde el certificado, por ejemplo, en una memoria USB, y transfiéralo a la máquina de la CA externa.

Paso 5: Importar certificado de CA

Para importar el certificado de CA en la máquina de CA externa, haga lo siguiente:

  1. En la máquina de CA externa, vaya a la Web de CA, seleccione la opción de menú Funciones de CA > Autoridades de certificación y edite la CA que firmó en el Paso 4 anterior: Firmar CSR y emitir certificado de CA.

  2. Cargue el certificado de CA y haga clic en Recibir respuesta de certificado para importar el certificado de CA firmado externamente y activar la CA.

    imágenes/descargar/archivos adjuntos/143730096/activate_ca.png