Editor de autoridad de validación (heredado)

EMPRESA Esta es una característica de EJBCA Enterprise.


El publicador de VA heredado publica los certificados emitidos o la información de revocación en una instancia de VA, escribiéndolos directamente en su base de datos. Por este motivo, la base de datos de VA debe configurarse como fuente de datos (consulte Configuración del publicador de VA ) y los puertos de acceso a la base de datos deben estar abiertos desde la CA al VA. Si bien la funcionalidad de este publicador ha sido completamente reemplazada por el publicador de pares de VA (recomendado), el publicador de VA heredado sigue siendo ampliamente utilizado y ofrece un rendimiento ligeramente superior al de su versión anterior, mucho más segura.

imágenes/descargar/archivos adjuntos/102924289/va_publisher_1.png

Configuración del editor de VA

A continuación se enumeran las configuraciones del editor de VA.

Configuración

Descripción

Fuente de datos

La base de datos del VA independiente donde este publicador publicará los certificados. Use java:/OcspDS si ocsp-datasource.jndi-name=OcspDS. Esta fuente de datos debe ser distinta de tx/jta=false.

Almacenar el certificado en la Autoridad de Validación

Almacena el certificado completo en la VA. Si se desactiva, solo se almacena la información necesaria para responder a las solicitudes OCSP, pero no el certificado en sí. Existen buenas razones para no publicar el certificado completo. Es grande, por lo que requiere una inserción considerable y puede contener información confidencial. Por otro lado, algunos complementos de extensión OCSP podrían no funcionar sin el certificado. Un respondedor OCSP normal funciona correctamente sin el certificado. Un editor de certificados de CA (usado en la página Editar Autoridades de Certificación ) debe tener esta opción habilitada.

Publicar sólo certificados revocados

Si se selecciona, solo se almacenan en el VA los certificados revocados. El respondedor OCSP del VA debe tener habilitada la opción "nonexistingisgood" (conf/ocsp.properties) si solo se publican certificados revocados. Un editor de certificados de CA (usado en la página " Editar Autoridades de Certificación" ) debe tener esta opción deshabilitada.

Almacenar CRL en la Autoridad de Validación

Debe configurarse si el servicio de almacenamiento de CRL de la VA debe usarse para una CA (solo aplica a los publicadores que se usan en la página Editar Autoridades de Certificación ). Tenga en cuenta que para usar esta opción, debe habilitar "Almacenar certificado en la Autoridad de Validación" y desmarcar "Publicar solo certificados revocados ", ya que los certificados de la CA deben almacenarse en la VA cuando las CRL se almacenan allí.

No almacene metadatos de certificados excepto los certificados de firma de CA y OCSP

La información de identificación personal, según lo dispuesto en el Reglamento General de Protección de Datos ( RGPD ), no se transmitirá a la Administración de la Vida Digital (AV). Los datos excluidos de la AV son:

  • sujeto DN

  • nombre alternativo del sujeto

  • noAntes

  • nombre de usuario

  • ID de clave de sujeto

  • ID de perfil de entidad final

Manejo de múltiples respondedores OCSP

Las fuentes de datos OCSP adicionales para los publicadores en la CA deben agregarse manualmente. Para ello en JBoss, clone la fuente de datos OCSP inicialmente implementada , JBOSS_HOME/server/default/deploy/ocsp-ds.xml, a JBOSS_HOME/server/default/deploy/ocsp2-ds.xml y modifique lo siguiente:

< jndi -name>OcspDS</ jndi -name>
< connection -url>jdbc: mysql://ocsp1.domain.org:3306/ejbca </ connection -url>

a:

< jndi -name>Ocsp2DS</ jndi -name>
< connection -url>jdbc: mysql://ocsp2.domain.org:3306/ejbca </ connection -url>

Luego configure un publicador adicional para utilizar esta nueva fuente de datos java:/Ocsp2DS .

Como alternativa, los usuarios de MySQL pueden usar las herramientas de replicación de bases de datos y replicar los datos de certificado desde la base de datos EJBCA de origen a los respondedores de destino, o publicarlos en una base de datos de respondedores OCSP de origen que, a su vez, se replica a los demás respondedores. Para más información, consulte la siguiente documentación de MySQL (según la versión):

Agregar respondedores adicionales en un entorno en vivo

No existe una forma automatizada de enviar todos los certificados publicados a los respondedores OCSP existentes. Para duplicar una base de datos OCSP de origen existente en una base de datos OCSP de destino, siga estos pasos:

  1. Para crear las tablas en el OCSP de destino, inicie JBoss AS con OCSP implementado por primera vez (y luego detenga el servidor antes de continuar).

  2. Agregue una fuente de datos adicional para el respondedor OCSP de destino en EJBCA.

  3. Configure un nuevo ValidationAuthorityPublisher en EJBCA (solo para la función Enterprise) utilizando el origen de datos OCSP de destino. Seleccione esta opción para publicar solo en la cola y acumular todos los cambios durante la clonación.

  4. Espere una hora y verifique que no haya nada en la cola del editor del OCSP de origen que tenga más de una hora de antigüedad.

  5. Realice un volcado de MySQL desde la base de datos de origen a la base de datos de destino o utilice el comando DBCOPY de ClientToolBox.

  6. Una vez finalizada la operación de copia, configure un nuevo Servicio de republicación para el publicador OCSP del destino.

  7. Asegúrese de que la cola que se creó durante la operación de copia ahora esté publicada en el OCSP de destino.

  8. Ejecute la herramienta de supervisión (ClientToolBox OCSPMon) para verificar que el nuevo OCSP esté sincronizado.

  9. Inicie el nuevo nodo OCSP y agréguelo al grupo de OCSP en su balanceador de carga.