Ej Bc a Installation

Auditiel

EJBCAPKI Open Source Manuel dinstallation et de configuration Version 1.0.0

_________________________________________________________________________________________________________________ http://www.auditiel.fr/docs/EJBCAInstallation.pdf Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Auditiel1 SOMMAIRE

EJBCA

_________________________________________________________________________________________________________________

1Sommaire.................................................................................................................................. 2 2Introduction............................................................................................................................... 3 2.1Pr requis............................................................................................................................3 2.2Versions............................................................................................................................. 3 2.3Glossaire.............................................................................................................................3 3Installation.................................................................................................................................4 3.1Composants ncessaires..................................................................................................... 4 3.2Systme dexploitation.......................................................................................................4 3.3Installation en production...................................................................................................4 3.4Procdure dinstallation..................................................................................................... 4 3.5Installation de la base MySQL...........................................................................................5 3.6Scurisation de linstallation.............................................................................................. 7 4Configuration Initiale................................................................................................................ 8 4.1Premire CA.......................................................................................................................8 5Configuration de TEST............................................................................................................. 9 5.1Prsentation........................................................................................................................ 9 5.2Connexion au module dadministration........................................................................... 10 5.3Configuration du systme................................................................................................ 11 5.4Cration des interfaces de publication............................................................................. 12 5.5Cration de la CA subordonne....................................................................................... 14 5.6Cration du modle de certificat...................................................................................... 15 5.7Cration des profils.......................................................................................................... 16 5.8Cration dun utilisateur...................................................................................................18 5.9Gnration du certificat....................................................................................................18 5.10Cration des groupes dadministration.......................................................................... 20

_________________________________________________________________________________________________________________

Manuel dinstallation et de configurationRfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

Version 1.0.0 2/23

Auditiel2 INTRODUCTION2.1 Pr requis

EJBCA

_________________________________________________________________________________________________________________

Ce document sadresse aux personnes dsirant installer une PKI dentreprise. Il est ncessaire davoir un minimum de connaissance sur le fonctionnement des PKI et sur lutilisation des certificats.

2.2 VersionsVersion 1.0.0 Date 22/02/2007 Auteur Jrme DUSAUTOIS Cration Modification

2.3 GlossaireCA : Autorit de certification. CA Root : Autorit de certification racine. Cette autorit est signe par ellemme (auto-signe). Aucune autre autorit ne se porte garante de sa validit. SubCA : Sous autorit de certification, dpend dune autre sous autorit ou dune autorit racine. RA : Autorit denregistrement. Prend en charge linscription des utilisateurs finals et lenregistrement des demandes de certificats. JAVA : Langage de programmation multi plateforme. JDK : Outils de dveloppement des applications JAVA, pour une plateforme donne. JBOSS : Serveur dapplications en JAVA. EJBCA : PKI Open Source en JAVA, base sur le serveur dapplications JBOSS.

_________________________________________________________________________________________________________________


Version 1.0.0 3/23

Auditiel3 INSTALLATION3.1 Composants ncessaires

EJBCA

_________________________________________________________________________________________________________________

Linstallation et lutilisation dEJBCA ncessitent le chargement de plusieurs composants. Voici un tableau des composants charger, ainsi que ladresse Internet o vous les trouverez. Modules EJBCA Serveur JBOSS Installeur ANT JDK SUN JCE Policy MySQL (optionnel) MySQL JAVA connector Version 3.4.1 4.0.4 1.7.0 1.5 1.5.0 5.0 5.0.4 Adresse www.ejbca.org labs.jboss.com jakarta.apache.org/ant/ java.sun.com/j2se/1.5.0/download.js p java.sun.com/j2se/1.5.0/download.js p www-fr.mysql.com www-fr.mysql.com

3.2 Systme dexploitationEJBCA est une PKI ralise en JAVA. Tous les composants utiliss fonctionnent en JAVA ou existent sur plusieurs plateformes. Le fonctionnement dEJBCA est identique (sauf avis contraire), sur toutes les plateformes. La procdure dinstallation dcrite ici, est ralise sur une plateforme Windows. Les commandes excutes sont donc des commandes CMD. Les mmes commandes, avec lextension SH, existent pour Linux.

3.3 Installation en productionLa base de donnes intgre JBOSS ne permet pas une exploitation confortable long terme. En effet, Hypersonic est une base de donnes qui charge ses tables en mmoire. Cette configuration ne peut pas fonctionner longtemps en production. Il est prfrable dutiliser une base SQL externe. JBOSS supporte les bases suivantes : mySQL, PostgreSQL, Oracle, Sybase, SapDB, MSSQL. Reportez-vous la partie .

3.4 Procdure dinstallationSuivez les tapes ci-dessous pour raliser linstallation dEJBCA. Dans la suite de la procdure, on considre que tous les composants ncessaires ont t tlchargs. 1. Copier les JDK_1.5.0_11 repinstall.Rfrence : 1.3.6.1.4.1.28572.1.2.2.1.1

rpertoires Apache-ant-1.7.0-bin, JBoss-4.0.4.GA, et EJBCA_3_4_1 dans le rpertoire dinstallation Version 1.0.0 4/23

_________________________________________________________________________________________________________________

Manuel dinstallation et de configuration

Auditiel

EJBCA

_________________________________________________________________________________________________________________

2. Si vous dsirez utiliser MySQL, cest le moment de suivre les tapes de la partie suivante (). 3. Ajouter, dans la variable denvironnement PATH, le chemin aux excutables de ant (repinstall\Apache-ant.1.7.0-bin\bin) et JAVA (repinstall\JDK_1.5.0_11\bin). 4. Ajouter la variable denvironnement JAVA_HOME avec le chemin du JDK. (repinstall\jdk.1.5.0_11). 5. Ajouter une variable denvironnement JBOSS_HOME avec le chemin daccs JBOSS (repinstall\jboss-4.0.4.GA). 6. Copier les fichiers US_Export_Policy.jar et local_policy.jar du rpertoire jce_policy-1.5.0 vers le rpertoire jdk_1.5.0_11\jre\lib\security 7. Copier le fichier conf/ejbca.properties.sample en conf/ejbca.properties et le modifier si ncessaire (nom de la CA Root, taille des cls, mots de passe, dure de validit, ). Modifier, dans ce mme fichier, les mots de passe pour les magasins de cls CA, OCSP, CMS. Ce fichier devra tre sauvegard en lieu sr et supprim du rpertoire aprs linstallation. 8. Ouvrir une session de commande dans le repinstall\ejbca_3_4_1 et entrez la commande ant bootstrap rpertoire

9. Ouvrir une autre session de commande dans repinstall\jboss4.0.4.GA\bin et lancer la commande run, pour activer le serveur JBOSS 10. Dans la session de commande EJBCA, lancer ant install. Entrer le nom de DN et les mots de passe demands. 11. Arrter le serveur JBOSS par Ctrl+C 12. Dans la session de commande EJBCA, lancer ant deploy 13. Importer le p12 superadmin.p12 du rpertoire repinstall\jbca_3_4_1\p12 dans le magasin Windows. 14. Relancer le serveur JBOSS (run). 15. Connectez-vous avec le browser ladresse http://localhost:8080/ejbca. Le choix Administration permet daccder linterface WEB dadministration. 16. Noubliez pas de sauvegarder et supprimer le fichier ejbca.properties du rpertoire ejbca_3_4_1\conf. Ce fichier contient les mots de passes des magasins de cls.

3.5 Installation de la base MySQLCes tapes doivent tre ralises avant linstallation dEJBCA, mais aprs avoir copi les fichiers dans le rpertoire dinstallation. Suivez les tapes ci-dessous. 1. Installez MySQL 5 en utilisant linstalleur. Slectionnez la configuration typique. 2. Passez la phase denregistrement sur Internet. 3. Laissez actif le lancement de la configuration MySQL. Le configurateur se lance automatiquement la fin de linstallation. Sinon, vous pouvez_________________________________________________________________________________________________________________


Version 1.0.0 5/23

Auditiel4. Choisissez la configuration dtaille. 5. Indiquez quil sagit dune machine serveur.

EJBCA

_________________________________________________________________________________________________________________

toujours lancer le configurateur par la commande MySQLInstanceConfig.exe dans le rpertoire bin dinstallation de MySQL.

6. Slectionnez base de donnes transactionnelle uniquement. 7. Changez ventuellement le chemin dinstallation des bases. 8. Laissez le choix par dfaut pour le nombre de connexions concurrentes. 9. Autorisez les connexions TCP/IP, mais pas pour ladministration. 10. Slectionnez le support multi langues (UTF8). 11. Slectionnez lactivation en tant que service Windows ainsi que lajout dans le PATH du chemin daccs au rpertoire BIN. 12. Modifiez le mot de passe root avec une valeur complexe. 13. Excutez la configuration. Il se peut quun message derreur apparaisse, slectionnez le bouton Retry et tout doit fonctionner. MySQL est prt et actif. 14. Recopiez le fichier MySQL-connector-java.5.0.4-bin.jar, extrait du zip MysSQL-Connector-java, dans le rpertoire JBOSS4.0.4.GA\server\default\lib. 15. Copiez le fichier conf/database.properties.sample en conf/database.properties dans le rpertoire ejbca_3_4_1\conf. Editez le fichier et enlevez les commentaires sur les lignes concernant la base de donnes MySQL (database.name, datasource.mapping, database.url, database.driver). Modifiez galement le nom dutilisateur et le mot de passe associ (database.username, database.password). Le nom dutilisateur et le mot de passe sont crs dans le point suivant. 16. Lancez une session de commande et tapez les commandes suivantes.Mysqladmin uroot ppasswordroot create ejbca Mysql uroot ppasswordroot MySQL grant all on ejbca.* to username@localhost identified by password quit

O Root et passwordroot correspondent lidentifiant et au mot de passe de lutilisateur principal de la base de donnes. Et Username@localhost et password correspondent lidentifiant et au mot de passe inscrits dans le fichier database.properties respectivement dans les champs database.username et database.password.

_________________________________________________________________________________________________________________


Version 1.0.0 6/23

Auditiel3.6 Scurisation de linstallation

EJBCA

_________________________________________________________________________________________________________________

Pour une installation en production, les points suivants doivent tre modifis : 1. Scurisez le serveur JBOSS en dsactivant les consoles dadministration (JMX et WEB). Voici un lien sur un document qui explique la procdure : http://wiki.jboss.org/wiki/Wiki.jsp?page=SecureTheJmxConsole 2. Supprimez les autorits reconnues dans le magasin cacerts de la jre de SUN et ne laissez que le certificat de lautorit cr par EJBCA pour ladministration. Pour cela, supprimez le fichier cacerts avant de lancer la commande ANT Install. 3. Bloquez tous les ports par dfaut de JBOSS et ne laissez que les ports https 8442 pour linterface publique et 8443 pour ladministration. Attention, la CRL est, par dfaut, accessible sur le port http 8080. 4. Laissez laccs aux fichiers du serveur JBOSS uniquement au compte utilis pour lancer le serveur. Mme remarque pour la base de donnes, sil ne sagit pas de la base intgre JBOSS. 5. Vrifiez que les logs de la base de donnes soient dsactives.

_________________________________________________________________________________________________________________


Version 1.0.0 7/23

Auditiel4 CONFIGURATION INITIALE4.1 Premire CA

EJBCA

_________________________________________________________________________________________________________________

La premire CA Root a t cre lors de linstallation. Cette CA peut servir pour la production, si les informations ont bien t modifies dans le fichier ejbca.properties avant linstallation dEJBCA. Elle peut galement ne pas tre utilise pour la production si, par exemple, la CA de production dpend dune autre CA. Dans tous les cas, la CA cre lors de linstallation sert authentifier le super administrateur. Si pour une raison propre lorganisation, une autre CA Root devait tre utilise pour gnrer les certificats dauthentification pour ladministration dEJBCA, alors le certificat de lautorit devrait tre ajout aux certificats reconnus par la JRE de SUN, dans le magasin cacerts qui se trouve dans le rpertoire RepInstall\jdk1.5.0_11\jre\lib\security. Les deux commandes suivantes permettent de rcuprer le certificat de la CA Root et de limporter dans le magasin des autorits reconnues par la JRE.Ejbca ca getrootcert NomCA nomfichierca.crt der Keytool import trustcacerts alias NomCA keystore NomKeyStore storepass MotDePasse file NomFichierCA.crt

Par dfaut, le mot de passe du magasin de certificats reconnus de la JRE de SUN est changeit. Comme son nom lindique, ce mot de passe doit tre chang. Le fichier RepInstall\jdk1.5.0_11\jre\lib\security\cacerts est, par dfaut, le fichier contenant les certificats reconnus (NomKeyStore).

_________________________________________________________________________________________________________________


Version 1.0.0 8/23

Auditiel5 CONFIGURATION DE TEST5.1 Prsentation

EJBCA

_________________________________________________________________________________________________________________

Ce chapitre traite de la configuration dEJBCA pour une PKI comportant une CA Root, une CA mettrice et une RA. Avant de configurer la PKI, il est indispensable de bien spcifier lensemble des modules crer (CA, SousCA, Publication, RA). Il faut galement dfinir les groupes dadministrateurs pour chacun des modules. Nhsitez pas donner des noms les plus explicites possibles pour les diffrents modules de la PKI. La comprhension nen sera que meilleure. Les administrateurs peuvent faire partie de la CA de production, ou une CA spcifique (par exemple, celle cre lors de linstallation). Cette dernire ne sera utilise que pour ladministration. Dans notre exemple, les administrateurs font partie de la CA de production. La CA Root est cre lors de linstallation.

CA Root

CA Root cre linstallation. Nom: RootCA Administrateur: RootCAAdmin Pas de modle de certificat

CA mettrice

SousCA cre par ladministrateur RootCAAdmin Nom: SousCAEmet Administrateur: EmetCAAdmin Publication de la CRL dans AD Un modle de certificat avec publication dans AD RA cre par ladministrateur SousCAEmet Administrateur: RAAdmin Un profil dutilisateurs finals

RA

Remarque : Il ny a pas vraiment de module RA. La RA est cre lorsquun groupe dadministrateurs a les autorisations de RA et quun profil dentit final lui est associ.

_________________________________________________________________________________________________________________


Version 1.0.0 9/23

Auditiel5.2 Connexion au module dadministrationConnectez-vous sur le http://nomduserveur:8080/ejbca. serveur JBOSS

EJBCAladresse

_________________________________________________________________________________________________________________

Ecran 1 : Page d'accueil Slectionnez le choix Administration. La connexion au module dadministration ncessite un certificat dauthentification. Ce certificat a t cr lors de la phase dinstallation. Le fichier p12 contenant le certificat et la cl prive est plac dans le rpertoire repinstall\ejbca_3_4_1\p12 sous le nom SuperAdmin.p12. Il doit tre install dans votre navigateur.

_________________________________________________________________________________________________________________


Version 1.0.0 10/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

Ecran 2 : Interface d'administration du Super Administrateur

5.3 Configuration du systmeSlectionnez le choix System Configuration pour modifier les paramtres du systme. Les paramtres du systme sont prsents sur deux pages. Les paramtres suivants peuvent tre modifis : Titre de lapplication. Bannires haute et basse. Limitation des autorisations sur les entits finales. Utilisation du squestre des cls. Lutilisation de supports physiques. Demander la confirmation pour lenvoi des mails de validation. La langue daffichage. Le nombre de lignes par page.

_________________________________________________________________________________________________________________


Version 1.0.0 11/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

Ecran 3 : Premire page des paramtres du systme

5.4 Cration des interfaces de publicationLes interfaces de publication doivent tre cres en premier, car elles peuvent tre utilises par les CA. Cependant, rien ninterdit la cration dinterface de publication ultrieurement. Pour crer une interface de publication, slectionnez le choix Edit Publishers , entrez un nouveau nom pour linterface et slectionnez le bouton Add . Slectionnez ensuite le nom dans la liste puis le bouton Edit Publisher . Nous devons crer deux interfaces de publication, une pour la CRL, utilise et paramtre par la CA mettrice et lautre pour les certificats, utilise galement par la CA mettrice mais paramtre dans le modle de certificat. Elles portent respectivement les noms de CRL Publisher et AD Publisher.

_________________________________________________________________________________________________________________


Version 1.0.0 12/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

Ecran 4 : Interface de publication Les deux interfaces de publication utilisent le mme type : Active Directory Publisher. Elles utilisent galement le mme compte de scurit Active Directory pour enregistrer les informations : Administrateur. Attention, il faut crer un compte spcial qui ne sera utilis que par EJBCA. Ce compte doit avoir les autorisations pour modifier, voire crer, les entres Active Directory correspondant aux utilisateurs ou la CRL. Linscription dans Active Directory se fait dans lenregistrement correspondant au DN compos dune base et dun champ complmentaire obtenu partir du certificat enregistrer dans la base. La base DN pour linscription des certificats utilisateur dans AD est : CN=users,DC=dmn1,DC=fr. La base DN pour linscription des CRL est : CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=dmn1,DC=fr Le nom du domaine est ici dmn1.fr A cette base DN, sera ajout le CN du certificat. Le tout correspond lentre Active Directory mettre jour. Dautres paramtres permettent de dterminer si les utilisateurs doivent tre ajouts dans Active Directory.

_________________________________________________________________________________________________________________


Version 1.0.0 13/23

Auditiel5.5 Cration de la CA subordonne

EJBCA

_________________________________________________________________________________________________________________

Cette SousCA est utilise pour la gnration des certificats utilisateurs. Slectionnez le choix Edit Certificate Authorities , entrez le nom de la sous CA et slectionnez le bouton Create .

Ecran 5 : Ajout de la CA mettrice Slectionnez la taille de la cl, la CA dont dpend cette sous CA et le dlai de validit de la CA. Vous devez galement fournir un dn. Vous pourrez ensuite slectionner linterface de publication utiliser (CRL Publisher cre prcdemment). Vous devez entrez un nombre dheures de validit de la CRL. Vous pouvez galement saisir lURL daccs la CRL. Le bouton Gnrer permet de pr remplir le champ avec ladresse du serveur et le dn de la CA. Noubliez pas de modifier ladresse du serveur, car par dfaut ladresse est localhost . Cette adresse de CRL sera utilise comme valeur par dfaut, lors de la gnration des certificats. Lorsque tous les champs sont renseigns, slectionnez le bouton Save pour enregistrer les paramtres et crer la CA. Cette opration peut prendre un peu de temps, en fonction de la taille des cls gnrer. Le modle de certificat utilis est le modle cr automatiquement linstallation dEJBCA. Ce modle (SUBCA) ne peut pas tre modifi._________________________________________________________________________________________________________________


Version 1.0.0 14/23

Auditiel5.6 Cration du modle de certificat

EJBCA

_________________________________________________________________________________________________________________

Slectionnez le choix Edit Certificate Profiles , entrez un nouveau nom pour le profil, slectionnez le profil End User dans la liste et slectionnez le bouton Use selected as template . Ceci permet de copier le modle de certificat End User .

Ecran 6 : Ajout d'un modle de certificat Le modle de certificat permet de dfinir les informations suivantes : Le dlai de validit des certificats gnrs sur ce modle. La prsence et la criticit des attributs du certificat comme le Key Usage , l Alternate Key Usage , le Subject Alternative Name , ladresse de la CRL, ladresse du serveur OCSP, et bien dautre Lutilisation de la cl, en slectionnant le ou les rles prvus pour ce certificat. Les tailles de cls autorises. La ou les CA qui peuvent dlivrer ce modle de certificat. Slectionnez la Sous CA nouvellement cre : SousCAEmet . La ou les interfaces de publication utiliser. Slectionnez AD Publisher

Slectionnez le bouton Save pour crer le modle.

_________________________________________________________________________________________________________________


Version 1.0.0 15/23

Auditiel5.7 Cration des profils

EJBCA

_________________________________________________________________________________________________________________

Nous devons crer deux profils. Le premier pour les administrateurs et le second pour les utilisateurs. Slectionnez le choix Edit End Entity Profile , entrez un nom de profil et slectionnez le bouton Add Profile . Slectionnez ensuite le profile dans la liste et le bouton Edit End Entity Profile .

Ecran 7 : Profil de l'entit utilisateur final Cet cran va permettre de dfinir les champs que devra remplir ladministrateur de RA, lors de linscription dun utilisateur. On cre le masque de saisie de la RA. Pour quasiment tous les champs, deux cases cocher permettent de spcifier si le champ est obligatoire et sil peut tre modifi. Si un champ est marqu comme non modifiable et sil comporte plusieurs valeurs spares par un point virgule, alors, lors de lajout dun utilisateur avec ce profil, le champ apparatra comme une liste droulante. Ladministrateur pourra choisir une des options entres dans le profil. Par exemple, le champ OU peut contenir les valeurs Marketing ; Finance . Ladministrateur de RA aura le choix entre ces deux OU. Cela ne fonctionne pas, si le champ est marqu comme modifiable. Le DN du certificat est compos de plusieurs champs. Ces champs peuvent tre slectionns dans une liste droulante et ajouts au profil. La liste des modles de certificats est galement compose ici._________________________________________________________________________________________________________________


Version 1.0.0 16/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

Le format de gnration du certificat peut tre dfini. Les choix possible sont User Generated . Dans ce cas, les cls sont gnres par lutilisateur. Si ce format est choisi, il ne peut pas y avoir de recouvrement. Les autres choix correspondent des formats de fichiers contenant les cls et le certificat. Un mail peut tre envoy lutilisateur final, pour lui signifier que sa demande de certificat est accepte. Attention, ladresse mail du destinataire est extraite du certificat. Il est donc obligatoire de dfinir le champ dadresse mail dans le profil (Alternate Subject Name, RFC822 Name). Le texte du message peut contenir des squences spciales permettant de transfrer des informations sur le compte en cours de cration. Voici un exemple de message format pour signifier lautorisation de gnration de certificat avec le mot de passe pour accder au compte. Ce texte est insr dans le champ Notification Message .PKI interne le ${DATE} Voici le mot de passe associ votre demande de certificat ${NL} Utilisateur : ${USERNAME} Mot de passe : ${PASSWORD}

Remarque : Pour simplifier au maximum lexemple, un seul profil est cr. Comme nous avons besoin de certificat dadministration et dutilisateur, le choix Administrator doit tre coch. Ceci permettra de gnrer des certificats pour les administrateurs.

_________________________________________________________________________________________________________________


Version 1.0.0 17/23

Auditiel5.8 Cration dun utilisateur

EJBCA

_________________________________________________________________________________________________________________

Slectionnez le choix Add End Entity , slectionnez le profil dsir (il ny a pas le choix dans notre exemple), puis renseignez les champs. Les champs marqus comme Required dans le profil apparaissent avec une case coche.

Ecran 8 : Ajout d'un utilisateur Entrez le nom et le mot de passe choisi pour cet utilisateur. Noubliez pas ladresse Email, surtout si une notification doit tre envoye lutilisateur. Le champ du DN contiendra le CN saisi ainsi que les autres champs dfinis dans le profil et qui apparaissent lcran. Dans le cas de la cration dun administrateur, la case Administrator doit tre coche. Lorsque tous les champs sont complts, slectionnez le bouton Add End Entity . Si un champ obligatoire nest pas renseign, un message vous en avertit. Dans le cas contraire, le formulaire saffiche nouveau avec un message indiquant le succs de lopration. Le formulaire est disponible pour lajout dun autre utilisateur.

5.9 Gnration du certificatLe certificat est gnr lorsque lutilisateur se connecte sur le site public dEJBCA ladresse suivante :http://AdresseDuServeur:8080/ejbca/publicweb/apply/apply_main.jsp_________________________________________________________________________________________________________________


Version 1.0.0 18/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

O AdresseDuServeur correspond au nom DNS de la machine o est install le serveur JBOSS.

Ecran 9 : Authentification de l'utilisateur Lutilisateur saisit lidentifiant et le mot de passe que lui a transmis ladministrateur ou quil a reus par mail. Suivant le format de la demande lutilisateur peut tre amen slectionner plusieurs champs, puis il est invit cliquer sur le bouton OK . Le certificat est gnr par la CA mettrice et est mis disposition de lutilisateur. La mise disposition dpend du format de gnration. Pour un format User Generated , le certificat est directement inscrit dans le magasin. Dans les autres cas, le fichier est transfr sur le poste de lutilisateur. Recommencez la cration dutilisateurs finals avec les CN suivants : RootCAAdmin EmetCAAdmin RAAdmin

Noubliez pas de cocher la case Administrator pour ces utilisateurs. Respectez la casse.

_________________________________________________________________________________________________________________


Version 1.0.0 19/23

Auditiel5.10 Cration des groupes dadministration

EJBCA

_________________________________________________________________________________________________________________

Slectionnez le choix Edit Administrator Privileges , entrez un nouveau nom de groupe, choisissez la CA concerne puis slectionnez le bouton Add Administrator Group . Slectionnez ensuite le nouveau groupe dans la liste et slectionnez le bouton Edit Administrators .

Ecran 10 : Ajout d'un administrateur dans un groupe Pour reconnatre un administrateur, un champ du certificat est test. En gnral, il sagit du champ CN. Slectionnez dans la liste Match with le champ dsir puis la mthode de comparaison dans Math type et enfin entrez la valeur de comparaison qui dterminera que le certificat prsent pour lauthentification est bien un certificat dadministrateur. Quelque soit le champ test, le certificat doit avoir t mis avec un profil indiquant quil sagit dun certificat administrateur (case Administrator coche). Dans notre exemple, la comparaison est effectue avec le cn du certificat. Attention, la casse est respecte. Lorsque les informations sont entres, slectionnez le bouton Add . Les noms des administrateurs sont lists dans le bas de la page. Il faut maintenant donner des droits ce groupe dadministrateurs. Pour cela, slectionnez le lien Edit Access Rules en haut de cette page.

_________________________________________________________________________________________________________________


Version 1.0.0 20/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

Ecran 11 : Rles attribu au groupe d'administrateurs Slectionnez le rle des administrateurs de ce groupe, c'est--dire CA Administrators . Puis slectionnez les CA autorises pour ce groupe (RootCA). Validez la saisie en slectionnant le bouton Save . Recommencez la cration dun autre groupe pour les administrateurs de la sous CA de nom SousCAEmet. Ajoutez ladministrateur EmetCAAdmin. Ce groupe aura le rle CA Administrators mais uniquement de la CA de nom SousCAEmet. Enfin, crez un dernier groupe dadministrateurs pour la RA. Le nom de ladministrateur de ce groupe est RAAdmin. Le rle attribu ce groupe est RA Administrators . Slectionnez la CA sur laquelle le groupe dadministrateurs de la RA peut demander des certificats, c'est--dire SousCAEmet. Puis slectionnez les rgles sur les entits finales ainsi que les profils dentits finales autoriss. Validez la saisie en slectionnant le bouton Save .

_________________________________________________________________________________________________________________


Version 1.0.0 21/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

Ecran 12 : Rles pour un groupe d'administrateurs de RA Lorsquun administrateur se connecte sur linterface dadministration dEJBCA, seules les fonctions autorises sont affiches.

_________________________________________________________________________________________________________________


Version 1.0.0 22/23

Auditiel

EJBCA

_________________________________________________________________________________________________________________

Ecran 13 : cran d'un administrateur de RA La page de ladministrateur de RA est simplifie au maximum.

_________________________________________________________________________________________________________________


Version 1.0.0 23/23

Ej Bc a Installation

Documents

Transcript of Ej Bc a Installation