Integración del sistema de gestión de tarjetas Versasec

Introducción

Para ilustrar un ejemplo de integración entre la Autoridad de Certificación EJBCA y un Sistema de Gestión de Tarjetas (CMS), se ha implementado Versasec vSEC:CMS en combinación con EJBCA. Versasec cuenta con integración nativa con EJBCA, lo que permite una integración sencilla y robusta.

Esta guía describe cómo integrar EJBCA con el sistema de administración de tarjetas Versasec vSEC:CMS.

Versasec vSEC:CMS

Versasec vSEC:CMS S-Series es un sistema de gestión de tarjetas que se ejecuta en un servidor Windows. El software vSEC:CMS utiliza la API de servicios web de EJBCA para integrar la PKI sin problemas con el CMS. Durante la emisión y revocación de tarjetas, vSEC:CMS realiza llamadas de servicios web a EJBCA para emitir y revocar certificados.

Prerrequisitos

Para la integración se requiere lo siguiente:

  • EJBCA versión 6.15.0 o posterior

  • Versasec vSEC:CMS S-Series versión 5.8 y posteriores

Integrando vSEC:CMS con EJBCA

La API del servicio web EJBCA está disponible mediante TLS con autenticación mutua de certificados. Esto significa que se debe emitir un certificado de administrador para vSEC:CMS para que este pueda acceder a EJBCA. El certificado emitido también debe estar vinculado a un rol con privilegios para emitir y revocar los certificados deseados en EJBCA. El acceso basado en roles proporciona un control detallado de las CA y los perfiles disponibles para que vSEC:CMS emita certificados. De esta forma, diferentes CMS pueden acceder a diferentes CA si es necesario, para que distintos departamentos o clientes emitan sus tarjetas utilizando su propio CMS.

La integración de vSEC:CMS con EJBCA incluye los siguientes pasos:

Paso 1: Crear certificado para vSEC:CMS

La emisión de un certificado para vSEC:CMS se realiza mediante la web de RA de EJBCA. Tenga en cuenta que los perfiles deben existir y estar correctamente configurados en EJBCA. Para obtener más información, consulte la sección "Descripción general de los perfiles de certificado" .

Para emitir un certificado para vSEC:CMS, inicie sesión como un administrador adecuado con permiso para emitir otros certificados de administrador de RA y haga lo siguiente:

  1. Vaya a la Web de RA y seleccione Realizar nueva solicitud.

  2. Especifique los campos para emitir un almacén de claves PKCS#12.
    El siguiente ejemplo utiliza claves generadas por el servidor, pero las claves generadas por el cliente funcionan igual de bien.

    imágenes/descargar/archivos adjuntos/128975680/Make_request.png


    imágenes/descargar/archivos adjuntos/128975680/Confirm_requewt.png



Paso 2: Crear un rol para vSEC:CMS

Para que vSEC:CMS pueda emitir y revocar certificados, se le debe agregar a un rol para proporcionar los privilegios necesarios.

Para crear un rol de administrador de RA con privilegios para emitir y revocar los certificados deseados, haga lo siguiente:

  1. En EJBCA Admin Web, seleccione Funciones del sistema > Roles de administrador .

  2. Haga clic en Agregar , especifique un nombre de rol (en este ejemplo, Versasec CMS ) y haga clic en Guardar .

    imágenes/descargar/archivos adjuntos/128975680/Add_role.png

  3. Cuando se crea el grupo Versasec CM , haga clic en Reglas de acceso .

  4. Seleccione la plantilla de rol de Administrador de RA , especifique la configuración según el siguiente ejemplo y haga clic en Guardar .

    imágenes/descargar/archivos adjuntos/128975680/Editar_reglas_de_acceso.png

Paso 3: Agregar certificado a la función

Con el rol creado, agregue el certificado creado para vSEC:CMS al rol recién creado editando los miembros del rol y haciendo clic en Agregar .

imágenes/descargar/archivos adjuntos/128975680/Miembros.png

Paso 4: Instalar vSEC:CMS

Instale Versasec vSEC:CMS de acuerdo con las instrucciones de instalación de la Guía de administración proporcionada con el instalador de S-Series.

Tenga en cuenta que debe haber un Directorio Activo disponible para que vSEC:CMS administre los usuarios a los que se les deben emitir tarjetas.

Paso 5: Configurar EJBCA en vSEC:CMS

Finalmente, configure EJBCA en vSEC:CMS:

  1. Instale el certificado emitido en el servidor Windows donde se ejecuta vSEC:CMS.

  2. Cree una nueva conexión a una CA, ingresando la URL del servicio web de la instancia EJBCA para conectarse a EJBCA y enumerar los perfiles disponibles

Tenga en cuenta que vSEC:CMS tiene soporte nativo para EJBCA y le permite seleccionar EJBCA de la lista de tipos de CA.

Para obtener más información sobre cómo agregar conexiones, consulte la documentación de Versasec en vSEC: Documentación de CMS S-Series - Conexiones.

La URL de la API del servicio web EJBCA es: https://<ejbca-server-hostname>/ejbca/ejbcaws/ejbcaws?wsdl.

imágenes/descargar/archivos adjuntos/128975680/ConfigureEJBCAinvSEC_CMS.png

La integración ahora está completa y puede comenzar a usar Versasec vSEC:CMS para emitir tarjetas con certificados de su autoridad de certificación EJBCA.

Se pueden agregar múltiples conexiones de CA para emitir diferentes tarjetas y certificados de diferentes CA.

Flujo de trabajo de demostración de CMS

Un flujo de trabajo básico de CMS consta de:

  1. Emitir una tarjeta

  2. Revocar la tarjeta

  3. Dar de baja la tarjeta, dejándola disponible para ser emitida nuevamente

Un breve proceso con dos lectores de tarjetas incluye:

  • Inicie vSEC:CMS utilizando una tarjeta de operador.

  • Coloque una tarjeta inteligente en blanco en el lector de tarjetas.

  • En la vista Ciclo de vida, haga clic en la burbuja Problema .

  • Se inicia un flujo de trabajo con la elección de una plantilla de tarjeta a utilizar y para qué usuario en AD se emite la tarjeta.

  • Una vez completado el flujo de trabajo, se emite la tarjeta.

Información relacionada

Para ver un video tutorial que muestra el flujo de trabajo completo, consulte https://youtu.be/el5_o-HhvOc.

La documentación sobre el proceso del ciclo de vida está disponible en vSEC:CMS S-Series Documentation - Lifecycle Processes.