Les instructions suivantes indiquent comment générer le certificat du signataire, le certificat du coffre et le certificat SCEP. L'autorité de certification racine signe le certificat du signataire, puis le certificat du signataire signe le certificat SCEP. Le certificat du coffre est auto-signé.
Générez, puis signez les certificats. Pour plus d'informations, reportez-vous à la section Configuration manuelle de l'autorité de certification OpenXPKI.
Remarque : Modifiez le nom commun du certificat afin que l'utilisateur puisse facilement distinguer les différents certificats des différents domaines. Vous pouvez remplacer DC=CA-ONE par DC=CA-TWO. Les fichiers de certificat sont créés dans le répertoire /etc/certs/openxpki_ca-two/.
Copiez les fichiers de clés dans /etc/openxpki/ca/ca-two/.
Remarque : Les fichiers de clés doivent être lisibles par OpenXPKI.
cp /etc/certs/openxpki_ca-two/ca-signer-1.key /etc/openxpki/ca/ca-two/
cp /etc/certs/openxpki_ca-two/vault-1.key /etc/openxpki/ca/ca-two/
cp /etc/certs/openxpki_ca-two/scep-1.key /etc/openxpki/ca/ca-two/
Créez le lien symbolique. Créez également un lien symbolique pour le certificat CA racine.
Remarque : Les liens symboliques sont des alias utilisés par la configuration par défaut.
ln -s /etc/openxpki/ca/ca-one/ca-root-1.crt /etc/openxpki/ca/ca-two/ca-root-1.crt
ln -s /etc/openxpki/ca/ca-two/ca-signer-1.key /etc/openxpki/ca/ca-two/ca-signer-1.pem
ln -s /etc/openxpki/ca/ca-two/scep-1.key /etc/openxpki/ca/ca-two/scep-1.pem
ln -s /etc/openxpki/ca/ca-two/vault-1.key /etc/openxpki/ca/ca-two/vault-1.pem
Importez le certificat du signataire, le certificat du coffre et le certificat SCEP dans la base de données avec les jetons appropriés pour ca-two.
openxpkiadm certificate import --file /etc/certs/openxpki_ca-two/ca-signer-1.crt --realm ca-two –issuer /etc/openxpki/ca/ca-two/ca-one-1.crt --token certsign
openxpkiadm certificate import --file /etc/certs/openxpki_ca-two/scep-1.crt --realm ca-two --token scep
openxpkiadm certificate import --file /etc/certs/openxpki_ca-two/vault-1.crt --realm ca-two --token datasafe
Vérifiez si l'importation est réussie à l'aide de openxpkiadm alias --realm ca-two.
Exemple d'impression
=== functional token ===
scep (scep):
Alias : scep-1
Identifier: YsBNZ7JYTbx89F_-Z4jn_RPFFWo
NotBefore : 2015-01-30 20:44:40
NotAfter : 2016-01-30 20:44:40
vault (datasafe):
Alias : vault-1
Identifier: lZILS1l6Km5aIGS6pA7P7azAJic
NotBefore : 2015-01-30 20:44:40
NotAfter : 2016-01-30 20:44:40
ca-signer (certsign):
Alias : ca-signer-1
Identifier: Sw_IY7AdoGUp28F_cFEdhbtI9pE
NotBefore : 2015-01-30 20:44:40
NotAfter : 2018-01-29 20:44:40
=== root ca ===
current root ca:
Alias : root-1
Identifier: fVrqJAlpotPaisOAsnxa9cglXCc
NotBefore : 2015-01-30 20:44:39
NotAfter : 2020-01-30 20:44:39
upcoming root ca:
not set
Dans ce cas, les informations de l'autorité de certification racine sont les mêmes pour ca-one et ca-two.
Si vous avez modifié le mot de passe de la clé de certificat lors de la création du certificat, alors mettez à jour nano /etc/openxpki/config.d/realm/ca-two/crypto.yaml.
Générez les CRL pour ce domaine. Pour plus d'informations, reportez-vous à la section Génération des informations CRL.
Publier les CRL pour ce domaine. Pour plus d'informations, reportez-vous à la section Configuration de l'accessibilité CRL.
Redémarrez le service OpenXPKI à l'aide de openxpkictl restart.
Exemple d'impression
Stopping OpenXPKI
Stopping gracefully, 3 (sub)processes remaining...
DONE.
Starting OpenXPKI...
OpenXPKI Server is running and accepting requests.
DONE.
Pour accéder au serveur OpenXPKI, procédez comme suit :
Depuis un navigateur Web, saisissez http://ipaddress/openxpki/.
Connectez-vous en tant qu'opérateur. Le mot de passe par défaut est openxpki.
Remarque : La connexion Opérateur a deux comptes opérateur préconfigurés, raop et raop2.