OpenCA
Aus HC Services
Installation OpenCA
Installation allgemein (online und offline)
- Download OpenCA und OpenCA Tools
Installation Prerequisiten
[root@ca-off]# perl -m CPAN -eshell cpan[1]> notest install DBI DBD::mysql
Anlegen MySQL Datenbank
[root@ca-off]# mysql -u root -p mysql> create database openca; mysql> grant all privileges on openca.* to openca@localhost identified by "nasenbaer";
Installation und Konfiguration OpenCA Offline Teil
Installation OpenCA Tools
[root@ca-off]# tar -zxvf openca-tools-1.0.0.tar.gz && cd openca-tools-1.0.0 [root@ca-off]# ./configure --prefix=/opt/openca [root@ca-off]# make [root@ca-off]# make install
Installation OpenCA (Offline Teil)
[root@ca-off]# tar -zxvf openca-base-1.0.2.tar.gz && cd openca-base-1.0.2 [root@ca-off]# export PATH=/opt/openca/bin/:$PATH [root@ca-off]# wget http://www.ralf-hornik.de/pub/scripts/openca-base-1.0.2.patch [root@ca-off]# patch -p1 < openca-base-1.0.2.patch [root@ca-off]# ./configure \ --prefix=/opt/openca \ --with-httpd-user=apache\ --with-httpd-group=apache \ --with-openca-prefix=/opt/openca/openca \ --with-etc-prefix=/opt/openca/openca/etc \ --with-httpd-fs-prefix=/opt/openca/httpd \ --with-module-prefix=/opt/openca/modules \ --with-web-host=www.firma.de \ --enable-engine \ --enable-dbi \ --enable-rbac [root@ca-off]# make [root@ca-off]# make install-offline
Konfiguration OpenCA (Offline Teil)
- Interface Passwort setzen
[root@ca-off]# openca-digest -dgst sha1 "nasenbaer" okTU/meavYh/+fYTvn+qqj6L1PY # wird später in die Konfig eingefügt
- /opt/openca/openca/etc/config.xml
... <option> <name>default_web_password</name> <value>okTU/meavYh/+fYTvn+qqj6L1PY</value> </option> <option> ... <option> <name>dbmodule</name> <value>DBI</value> </option> <option> <name>db_type</name> <value>mysql</value> </option> <option> <name>db_name</name> <value>openca</value> </option> <option> <name>db_host</name> <value>localhost</value> </option> <option> <name>db_port</name> <value>3306</value> </option> <option> <name>db_user</name> <value>openca</value> </option> <option> <name>db_passwd</name> <value>nasenbaer</value> </option> <option> <name>db_namespace</name> <value></value> </option> ... ========================== dataexchange configuration ========================== 1. the node acts as CA only aktivieren!!
Konfiguration aktivieren und OpenCA starten
[root@ca-off]# ./configure_etc.sh [root@ca-off]# ../init.d/openca start
Konfiguration Apache
- ssl.conf
SSLOptions +StdEnvVars # OpenCA Mods # CA Aliases Alias /pki/ca /opt/openca/httpd/html/pki/ca/ Alias /pki/node /opt/openca/httpd/html/pki/node/ ScriptAlias /cgi-bin/pki/ca/ /opt/openca/httpd/cgi-bin/pki/ca/ ScriptAlias /cgi-bin/pki/node/ /opt/openca/httpd/cgi-bin/pki/node/ # OpenCA Mods <Directory "/opt/openca/httpd/cgi-bin/"> AllowOverride None Options ExecCGI Order allow,deny Allow from all </Directory> <Directory "/opt/openca/httpd/html/pki/"> AllowOverride None Options FollowSymLinks Indexes Order allow,deny Allow from all </Directory>
Temporäres SSL Zertifikat erstellen
[root@ca-off]# openssl req -x509 -newkey rsa:2048 -nodes \ -keyout /etc/httpd/conf/ssl.key/server.key \ -subj "/C=DE/O=Firma GmbH/OU=WWW/CN=ca-off.firma.de" \ -out /etc/httpd/conf/ssl.crt/server.crt
Installation und Konfiguration OpenCA Online Teil
Konfiguration OpenLDAP
- Passwort setzen
[root@ca-pub]# slappasswd -h {SHA} -s pw4ldap [root@ca-pub]# cp ${OPENCA_SRC_DIR}/contrib/openldap/openca.schema /etc/openldap/schema/
- slapd.conf:
include /etc/openldap/schema/openca.schema
- slapd.conf weiter anpassen (eventuell später doppelte OID's entfernen)
Installation OpenCA Tools
[root@ca-pub]# tar -zxvf openca-tools-1.0.0.tar.gz && cd openca-tools-1.0.0 [root@ca-pub]# ./configure --prefix=/opt/openca-pub [root@ca-pub]# make [root@ca-pub]# make install
Installation OpenCA (Online Teil)
[root@ca-pub]# tar -zxvf openca-base-1.0.2.tar.gz && cd openca-base-1.0.2 [root@ca-pub]# export PATH=/opt/openca-pub/bin/:$PATH [root@ca-pub]# wget http://www.ralf-hornik.de/pub/scripts/openca-base-1.0.2.patch [root@ca-pub]# patch -p1 < openca-base-1.0.2.patch [root@ca-pub]# ./configure \ --prefix=/opt/openca-pub \ --with-httpd-user=daemon \ --with-httpd-group=daemon \ --with-openca-prefix=/opt/openca-pub/openca \ --with-etc-prefix=/opt/openca-pub/openca/etc \ --with-httpd-fs-prefix=/opt/openca-pub/httpd \ --with-module-prefix=/opt/openca-pub/modules \ --with-web-host=www.firma.de \ --enable-engine \ --enable-dbi \ --enable-rbac \ --enable-scep [root@ca-pub]# make [root@ca-pub]# make install-offline
Konfiguration OpenCA (Online Teil)
- (Interface Passwort setzen)
- /opt/openca/openca/etc/config.xml
... <wie offline Teil - Vorsicht: NICHT KOPIEREN> ... ========================== dataexchange configuration ========================== 5. the node acts as public/scep and RA aktivieren!!
Konfiguration aktivieren und OpenCA starten
[root@ca-pub]# ./configure_etc.sh [root@ca-pub]# ../init.d/openca start
Konfiguration Apache
- ssl.conf
SSLOptions +StdEnvVars # OpenCA-RA Mods Alias /pki/ra /opt/openca-pub/httpd/html/pki/ra/ Alias /pki/pub /opt/openca-pub/httpd/html/pki/pub/ Alias /pki/node /opt/openca-pub/httpd/html/pki/node/ Alias /pki/ldap /opt/openca-pub/httpd/html/pki/ldap/ ScriptAlias /cgi-bin/pki/ra/ /opt/openca-pub/httpd/cgi-bin/pki/ra/ ScriptAlias /cgi-bin/pki/pub/ /opt/openca-pub/httpd/cgi-bin/pki/pub/ ScriptAlias /cgi-bin/pki/node/ /opt/openca-pub/httpd/cgi-bin/pki/node/ ScriptAlias /cgi-bin/pki/ldap/ /opt/openca-pub/httpd/cgi-bin/pki/ldap/ ScriptAlias /cgi-bin/pki/scep /opt/openca-pub/httpd/cgi-bin/pki/scep # OpenCA-RA Mods <Directory "/opt/openca-pub/httpd/cgi-bin/"> AllowOverride None Options ExecCGI Order allow,deny Allow from all </Directory> <Directory "/opt/openca-pub/httpd/html/pki/"> AllowOverride None Options FollowSymLinks Indexes Order allow,deny Allow from all </Directory> # OpenCA Mods # adding dir to symlinks following for cert retrieval # not totally clear WHY openca puts a symlink here, but it did. <Directory "/opt/openca-pub/httpd/cgi-bin/pki/pub/"> AllowOverride None Options FollowSymLinks Indexes Order allow,deny Allow from all </Directory>
Temporäres SSL Zertifikat erstellen
[root@ca-pub]# openssl req -x509 -newkey rsa:2048 -nodes \ -keyout /etc/httpd/conf/ssl.key/server.key \ -subj "/C=DE/O=Firma GmbH/OU=WWW/CN=ca-online.firma.de" \ -out /etc/httpd/conf/ssl.crt/server.crt
Weiterführende Konfiguration OpenCA
Automatisches Ausrollen per SCP in OpenCA
Benutzer zum Kopieren anlegen
- auf Online Teil
[root@ca-pub]# useradd -c "RA - CA Dataexchange User" -m -g daemon -s /bin/bash calkw [root@ca-pub]# passwd calkw [root@ca-pub]# su - calkw [root@ca-pub]# mkdir -m 700 .ssh [root@ca-pub]# touch /opt/openca-pub/openca/var/openca/tmp/ra-up [root@ca-pub]# chown daemon:daemon /opt/openca-pub/openca/var/openca/tmp/ra-up [root@ca-pub]# chmod 660 /opt/openca-pub/openca/var/openca/tmp/ra-up
- auf Offline Teil
[root@ca-off]# mkdir -m 700 /var/www/.ssh [root@ca-off]# ssh-keygen -t rsa -b 2048 -f /var/www/.ssh/id_rsa [root@ca-off]# cp /root/.ssh/known_hosts /var/www/.ssh [root@ca-off]# chown -R daemon:daemon /var/www/.ssh [root@ca-off]# scp /var/apache/private/id_rsa.pub calkw@onlinehost:.ssh/authorized_keys
Datenaustausch in OpenCA konfigurieren
- Auf Offline Teil
[root@ca-off]# cd /opt/openca/openca/etc/
- in servers/node.conf.template diesen Inhalt einfügen:
## dataexchange with a lower level of the hierarchy EXPORT_IMPORT_DOWN_DEVICE "@dataexchange_device_down@" EXPORT_IMPORT_DOWN_START "" EXPORT_IMPORT_DOWN_STOP "" EXPORT_IMPORT_DOWN_EXPORT "/bin/tar -cvpf @__DEVICE__@ -C @__SRC__@ ." "/usr/bin/scp @__DEVICE__@ calkw@onlinehost:/opt/openca-pub/openca/var/openca/tmp/ra-up" EXPORT_IMPORT_DOWN_IMPORT "/usr/bin/scp calkw@onlinehost:/opt/openca-pub/openca/var/openca/tmp/ra-up @__DEVICE__@" "/bin/tar -xvf @__DEVICE__@ -C @__DEST__@" EXPORT_IMPORT_DOWN_TEST "/bin/tar -tvf @__DEVICE__@"
[root@ca-off]# ./configure_etc.sh && ../init.d/openca stop && ../init.d/openca start
CA-Key auf ein Aladdin eToken importieren
Installation PCSC-Lite
- Version >1.3.0 sollte auf jedem neuerem System vorhanden sein, bzw per Paket installierbar sein
Installation eToken Treiber von Aladdin
[root@ca-off]# rpm -ivH pkiclient-full-4.55-34.*.rpm
Installation OpenSC
- Download OpenSC
[root@ca-off]# tar -zxf opensc-*.tar.gz && cd opensc-* [root@ca-off]# ./configure --prefix=/opt/opensc --enable-pcsc [root@ca-off]# make && make install
Installation LibP11
- Download LibP11
[root@ca-off]# tar -zxf libp11-*.tar.gz && cd libp11-* [root@ca-off]# ./configure --prefix=/opt/libpkcs11 [root@ca-off]# make && make install
Installation OpenSSL PKCS11 Engine
- Download Engine PKCS11
[root@ca-off]# tar -zxf engine_pkcs11-*.tar.gz && cd engine_pkcs11-* [root@ca-off]# ./configure --prefix=/opt/libpkcs11 LIBP11_LIBS="-L/opt/libpkcs11/lib -lp11" LIBP11_CFLAGS="-I/opt/libpkcs11/include" [root@ca-off]# make && make install
Zugriff auf das eToken
[root@ca-off]# /etc/init.d/pcscd start [root@ca-off]# /etc/init.d/eTCacheMarker start
- siehe /var/log/messages
kernel: usb 1-1: new low speed USB device using uhci_hcd and address 6 server kernel: usb 1-1: configuration #1 chosen from 1 choice etokend: Power up succeed from 1 attempt server etokend: connection closed by client on fd = 6, (connection=6) server etokend: PowerICC - no more than 33 bytes of answer are expected server etokend: Power up succeed server pcscd: eventhandler.c:419:EHStatusHandlerThread() Card inserted into AKS ifdh 00 00 pcscd: Card ATR: 3B F2 18 00 FF C1 0A 31 FE 55 C8 06 8A
Zugriff per OpenSC
[root@ca-off]# /opt/opensc/bin/cardos-info Info : CardOS V4.2B (C) Siemens AG 1994-2003 Chip type: 124 Serial number: 25 09 e3 02 24 10 Full prom dump: 33 66 00 09 61 61 61 61 7C FF 25 09 E3 02 24 10 3f..aaaa|.%...$. 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 ................ OS Version: 200.6 (that's CardOS M4.2) Current life cycle: 32 (administration) Security Status of current DF: Free memory : 1024 ATR Status: 0x0 ROM-ATR Packages installed: E1 09 01 04 1C 01 C8 06 8F 01 01 E1 09 01 04 13 ................ 02 C8 06 8F 01 01 ...... Ram size: 4, Eeprom size: 64, cpu type: 66, chip config: 63 Free eeprom memory: 36492 System keys: PackageLoadKey (version 0x00, retries 10) System keys: StartKey (version 0xff, retries 10) Path to current DF:
CA Key auf eToken inportieren
[root@ca-off]# cd /opt/openca/openca/var/openca/crypto/ [root@ca-off]# openssl rsa -in cakey.pem -outform der -out cakey.der # sonst meckert pkcs11-tool [root@ca-off]# /opt/opensc/bin/pkcs11-tool -l -w cakey.der \ --type privkey --id 01 \ --label "Nasec CA Key" \ --module /usr/lib/libeTPkcs11.so
Test per OpenSSL
- laden der PKCS11 Engine
[root@ca-off]# openssl engine -t dynamic -pre SO_PATH:/opt/libpkcs11/lib/engines/engine_pkcs11.so \ -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD \ -pre MODULE_PATH:/usr/lib/libeTPkcs11.so (dynamic) Dynamic engine loading support [Success]: SO_PATH:/opt/libpkcs11/lib/engines/engine_pkcs11.so [Success]: ID:pkcs11 [Success]: LIST_ADD:1 [Success]: LOAD [Success]: MODULE_PATH:/usr/lib/libeTPkcs11.so Loaded: (pkcs11) pkcs11 engine [ available
Zugriff per OpenCA (Offline Teil)
Wichtig: die PIN Mails können dann nicht mehr signiert werden
- Ausschalten in $OpenCADir//lib/openca/functions/crypto-utils.lib:
Zeile 1620 SIGN => 0,
- Offline Teil neustarten
CA-Key auf SafeGuard CryptoServer LAN importieren
Konfiguration CryptoServer
Zugriff per OpenCA
Authority Information Access
- Für Root Zertifikat (im Offline Teil)
- /opt/openca/openca/etc/openssl/openssl.cnf.template:
authorityInfoAccess = OCSP;URI:http:///url.zu.ocsp, caIssuers;URI:http://pfad.zu/cacert.crt
- Für Enduser Zertifikate (Auch im Offline Teil)
[root@ca-off]# cd extfiles
- für jedes *.ext.template:
authorityInfoAccess = OCSP;URI:http:///url.zu.ocsp, caIssuers;URI:http://pfad.zu/cacert.crt
[root@ca-off]# cd ../../ [root@ca-off]# ./configure_etc.sh && ../init.d/openca stop && ../init.d/openca start
Anlegen von CA Policies
Anlegen der OID's für die Policies (Offline Teil)
- Beantragen einer Nummer bei IANA
[root@ca-off]# cd /opt/openca/openca/etc [root@ca-off]# vi loa.xml # Datei entsprechend editieren
Verfassen einer Policiy
- Siehe Beispiel der Uni Paderborn
Warnen vor ablaufenden Zertifikaten
Enduser sollen benachrichtigt werden, wenn Ihr Zertifikat abläuft. Sobald ein neues Zertifikat mit gleichem Namen vorliegt, soll keine Benachrichtigung mehr kommen.
MySQL Datenbank vorbereiten
- Anlegen eines Views von Zertifikaten die länger als 30 Tage gültig sind
mysql> CREATE VIEW long_valid_certs AS SELECT cert_key, dn, notafter FROM certificate WHERE status = 'VALID' AND (datediff(date(notafter), now()) > 30);
- Anlegen eines Views von Zertifikaten die weniger als 30 Tage gültig sind
mysql> CREATE VIEW expiring_certs AS SELECT email, cert_key, dn, notafter FROM certificate WHERE status = 'VALID' AND (datediff(date(notafter), now()) > 0 AND datediff(date(notafter), now()) <31);
- Anlegen eines Views, der vergleicht, ob ein Zertifikat abläuft und noch kein länger gültiges mit gleichem DN vorhanden ist
mysql> CREATE VIEW really_expiring_certs AS SELECT expiring_certs.email, expiring_certs.dn, expiring_certs.cert_key, expiring_certs.notafter FROM expiring_certs LEFT JOIN long_valid_certs USING (dn) WHERE long_valid_certs.cert_key IS NULL;
Abfragen und auswerten
- Abfragen kann man diese Daten dann z.B. mit diesem Skript: warn_expiring.pl
Warnen vor ablaufenden CRL's
- Abfragen der Daten und Convertieren in das richtige Format:
SELECT CAST(crl_key as UNSIGNED) AS serial, STR_TO_DATE(next_update, '%b %e %H:%i:%s %Y') AS next_update FROM crl ORDER BY 1 DESC LIMIT 1;
- Einbinden dieser Abfrage in dieses Beispielskript warn_expiring_crl
Zertifikatsmanagement
Ausrollen von Zertifikaten
Die nachfolgende Dokumentation beschreibt die Administration von OpenCA
Beantragen eines Zertifikates
- Aufrufen von https://pki.domain.com/pki/pub und unter folgenden Möglichkeiten wählen
- Beantragen eines Zertifikates mit automatischer Browsererkennung (erstellt ein Key + Zertifikat im Browserstore)
- Allgemeiner Zertifizierungsantrag (erstellt ein PKCS#12 Bundle zum Download)
- Zertifizierungsantrag für Server (ein PKCS#10 Antrag kann hochgeladen werden)
- Ausfüllen des Formulars
- Name
- Emailadresse
- Rolle (User, Webserver, ...)
- Telefonnummer
- PIN (8 stellig)
- Zusammenfassung mit verschlüsselter PIN und Seriennummer ausdrucken (wird später von der RA benötigt)
Verifizieren und genehmigen des Antrags
Installieren des RA Administrator Zertifikates im Mozilla 1.7
- Zertifikat hier runterladen
- Unter Zertifikat und Schlüsselpaar - PKCS#12 auswählen und download klicken
- PIN eingeben und Zertifikat auf der Festplatte speichern
- Laden des CA Zertifikates
- Alle drei Haken bei der Vertrauenswürdigkeit setzen
- Import des RA Administrator Zertifikates unter "Extras -> Einstellungen -> Datenschutz und Sicherheit -> Zertifikate -> Import"
- PIN für den Mozilla Store vergeben (wenn noch nicht geschehen)
- PIN vom PKCS#12 Zertifikat des RA Admins eingeben
Bearbeiten und genehmigen des Antrags
- Anmelden an https://https://pki.domain.com/pki/ra
- Unter "Aktive CSR -> Neu -> Suchen" den Antrag auswählen
- Den Antragsteller auf der hinterlegten Telefonnummer anrufen und Seriennummer und verschlüsselte PIN durchgeben lassen
- Antrag bearbeiten (evtl. Namen ändern, oder Einträge hinzufügen)
- Antrag genehmigen
Signierten Antrag zur CA übermitteln
Datenaustauch zur CA vorbereiten
- Anmelden an https://https://pki.domain.com/pki/ra-node
- Auf "Administration -> Datenaustausch -> Exportieren von Daten zu einer höheren Ebene der Hierarchie" gehen
- Mit OK bestätigen
Datenimport auf die CA
- Anmelden an https://https://pki.domain.com/pki/ca-node
- Auf "Administration -> Datenaustausch -> Importieren von Daten von einer niedrigeren Ebene der Hierarchie" gehen
- Mit OK bestätigen
Zertifikat von signiertem Antrag erstellen
- Anmelden an https://https://pki.domain.com/pki/ca
- Unter "Normale Operationen -> genehmigte Zertifizierungsanträge" den Antrag auswählen
- Zertifikat ausstellen
- PIN vom CA Schlüssel eingeben
Zertifikat ausrollen
Rückläufiger Datenaustausch mit der RA
- Anmelden an https://https://pki.domain.com/pki/ca-node
- Auf "Administration -> Datenaustausch -> Exportieren von Daten zu einer niedrigeren Ebene der Hierarchie" gehen
- Mit OK bestätigen
Datenimport auf die RA
- Anmelden an https://pki.domain.com/pki/ra-node
- Auf "Administration -> Datenaustausch -> Importieren von Daten von einer höheren Ebene der Hierarchie" gehen
- Mit OK bestätigen
Sperren von Zertifikaten
Jeder Nutzer kann sein Zertifikat selbst sperren lassen, indem er die sogenannte "Certificate Revokation Identification Number (CRIN)" für sein Zertifikat eingibt. Die RA sperrt Zertifikate, indem sie nach dem Zertifikat sucht und dann auf "Zurückrufen" geht. Danach erscheint ein sogenannter CRR, der genauso wie ein CSR zu genehmigen und auf die CA zu übertragen ist.
- Anmelden an https://https://pki.domain.com/pki.com/ca
- Unter "Normale Operationen -> genehmigte Rückrufanträge" den Antrag auswählen
- Zertifikat zurückrufen
- PIN vom CA Schlüssel eingeben
Nachdem das Zertifikat zurückgerufen wurde, muß noch eine neue CRL erstellt und zur RA ausgerollt werden:
- Unter "Normale Operationen -> Erstellen einer neuen CRL" CRL erstellen (Gültigkeit ist 30, kann aber auch höher sein)
- PIN vom CA Schlüssel eingeben
- Ausrollen wie "Zertifikat ausrollen"
OpenCA OCSPD
Installation
- Download OCSPD
[root@ca-pub]# tar -zxvf openca-ocspd-*.tar.gz && cd openca-ocspd-* [root@ca-pub]# ./configure --with-openca-prefix=/opt/openca-pub/ \ --with-ocspd-user=ocspd --with-ocspd-group=daemon \ --prefix=/opt/ocspd --enable-debug [root@ca-pub]# make && make install
Konfiguration
- Key und Zertifikat erstellen
- ocspd.conf
OpenCA Batchprozessor
Neuen User anlegen
- Erstellen einer verschlüsselten PIN
[root@ca-off]# echo "FettPassword" > pinfile.txt [root@ca-off ~]# openca-sv encrypt -in pinfile.txt -cert /opt/openca/openca/var/openca/crypto/cacerts/cacert.pem -----BEGIN PKCS7----- MIICDwYJKoZIhvcNAQcDoIICADCCAfwCAQAxggG3MIIBswIBADCBmjCBjDELMAkG A1UEBhMCREUxGDAWBgNVBAoTD05hdGl2ZSBTZWN1cml0eTESMBAGA1UECxMJTmFz ZWMgUEtJMSAwHgYDVQQDExdOYXRpdmUgU2VjdXJpdHkgUm9vdCBDQTEtMCsGCSqG SIb3DQEJARYedHJ1c3RjZW50ZXJAbmF0aXZlLXNlY3VyaXR5LmRlAgkAuqt6rp7f Qz4wDQYJKoZIhvcNAQEBBQAEggEAU1N3dLZwPIZWvJ/NkmKNSfXB2PZjp5IMfKxz LrzyXFNs4VMNsjiDbl582Darwp//QLug1fQU1/3Fze5RYB2lwBWgvAw4VT1XbdOT pD07BRRD7yNKv/LpuFahm5lI01ZKstfSSG7bRXY5Dluxu7lujjqNCW+ux0mSe7vG 7XvmmAWiwXY+ldIeNIfZesDmcAD/KVwP6UTzz8NOqq8X0bQsTuqrIb7WcU24iW/y xmKcPpMQ5wtox43D/x59ey9Ln/ZQqa6BSQf7BJrPmRB6Dn9UTpklRcB2Mo27zB/w 40AjI5DgvDjoZ64wp4zSTYBYLWQ3Tbnz5wCDdTEz3aeAfeEgnjA8BgkqhkiG9w0B BwEwHQYJYIZIAWUDBAEqBBAc9tZmu4kY2ROc31OaGzG2gBBWhGSVsPJAFKNmnDFB TNEq -----END PKCS7-----
- Erstellen einer neuen Batchdatei
batch_process_data.txt:
USER user1 PROCESS gen_cert_user1 set_state new_process ROLE User SUBJECT_ALT_NAME_ 1 email:user1@domain.com SUBJECT emailAddress=user1@domain.com, CN=User1, O=domain, C=COM LOA_MODE USE_IT LOA 10 purePIN@private -----BEGIN MYPIN----- -----BEGIN PKCS7----- MIICDwYJKoZIhvcNAQcDoIICADCCAfwCAQAxggG3MIIBswIBADCBmjCBjDELMAkG A1UEBhMCREUxGDAWBgNVBAoTD05hdGl2ZSBTZWN1cml0eTESMBAGA1UECxMJTmFz ZWMgUEtJMSAwHgYDVQQDExdOYXRpdmUgU2VjdXJpdHkgUm9vdCBDQTEtMCsGCSqG SIb3DQEJARYedHJ1c3RjZW50ZXJAbmF0aXZlLXNlY3VyaXR5LmRlAgkAuqt6rp7f Qz4wDQYJKoZIhvcNAQEBBQAEggEAU1N3dLZwPIZWvJ/NkmKNSfXB2PZjp5IMfKxz LrzyXFNs4VMNsjiDbl582Darwp//QLug1fQU1/3Fze5RYB2lwBWgvAw4VT1XbdOT pD07BRRD7yNKv/LpuFahm5lI01ZKstfSSG7bRXY5Dluxu7lujjqNCW+ux0mSe7vG 7XvmmAWiwXY+ldIeNIfZesDmcAD/KVwP6UTzz8NOqq8X0bQsTuqrIb7WcU24iW/y xmKcPpMQ5wtox43D/x59ey9Ln/ZQqa6BSQf7BJrPmRB6Dn9UTpklRcB2Mo27zB/w 40AjI5DgvDjoZ64wp4zSTYBYLWQ3Tbnz5wCDdTEz3aeAfeEgnjA8BgkqhkiG9w0B BwEwHQYJYIZIAWUDBAEqBBAc9tZmu4kY2ROc31OaGzG2gBBWhGSVsPJAFKNmnDFB TNEq -----END PKCS7----- -----END MYPIN-----* Datei zum lokalen Austauschgerät hinzufügen [root@ca-off]# tar -cvf /tmp/openca-local batch_process_data.txt
Backup und Rücksichern der Datenbank
Backup der OpenCA Daten
Offline Teil
- Anmelden an https://https://pki.domain.com/pki/ca-node
- Auf "Administration -> Backup und Wiederherstellung -> Backup -> Datenbank" gehen
- Ein kompletter OpenCA Dump liegt nun unter /opt/openca/openca/var/tmp/ra-local und wird automatisch vom FS Backup mitgesichert
Online Teil
- Anmelden an https://https://pki.domain.com/pki/ra-node
- Auf "Administration -> Backup und Wiederherstellung -> Backup -> Datenbank" gehen
- Ein kompletter OpenCA Dump liegt nun unter /opt/openca-pub/openca/var/tmp/ra-local und wird automatisch vom FS Backup mitgesichert
Rücksicherung der OpenCA Daten NACH Rücksicherung der Konfiguration
Offline Teil
- Anlegen der Mysql-Openca Datenbank
- mysql -u root -p
- mysql> create database openca;
- mysql> grant all privileges on openca.* to openca@localhost identified by "<password>";
- Rücksicherung von /opt/openca/openca/var/tmp/ca-local
- Importieren der Daten in OpenCA
- Anmelden an https://https://pki.domain.com/pki/ca-node
- Auf "Administration -> Backup und Wiederherstellung" gehen
- Unter "RECOVERY -> Initialisieren der Datenbank" klicken
- Unter "RECOVERY -> Wiederherstellen der Datenbank" klicken
- Unter "RECOVERY -> Wiederherstellen von OpenSSLs Datenbank und der nächsten Seriennummer" klicken
Online Teil
- Anlegen der Mysql-Openca Datenbank
- mysql -u root -p
- mysql> create database openca;
- mysql> grant all privileges on openca.* to openca@localhost identified by "<password>";
- Rücksicherung von /opt/openca-pub/openca/var/tmp/ra-local
- Importieren der Daten in OpenCA
- Anmelden an https://https://pki.domain.com/pki/ra-node
- Auf "Administration -> Backup und Wiederherstellung" gehen
- Unter "RECOVERY -> Initialisieren der Datenbank" klicken
- Unter "RECOVERY -> Wiederherstellen der Datenbank" klicken
- Unter "RECOVERY -> Wiederherstellen von OpenSSLs Datenbank und der nächsten Seriennummer" klicken
Microsoft CA Kompatibilität
- Importieren des (Drittanbieter) Root Zertifikates in den NTAuth Speicher
certutil -dspublish -f cacert.crt NTAuthCA
- Prüfen eines Zertifikates
certutil -verify -urlfetch cert.crt
- Testen einer Smartcard
certutil -scinfo
- Abschalten der CRL Checks bei Offline Servern (nicht empfohlen)
certutil –setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
- Weitere Quellen
Auto Enrollment Smartcard Logon