En las siguientes instrucciones se muestra cómo generar el certificado de firmante, el certificado de almacén y el certificado SCEP. La CA raíz firma el certificado de firmante y, a continuación, el certificado de firmante firma el certificado SCEP. El certificado de almacén se firma automáticamente.
Genere los certificados y, a continuación, fírmelos. Para obtener más información, consulte Configuración de la CA de OpenXPKI de forma manual.
Nota: Cambie el nombre común del certificado para que el usuario pueda distinguir fácilmente entre distintos certificados para diferentes dominios. Puede cambiar DC=CA-ONE a DC=CA-DOS. Los archivos de certificado se crean en el directorio /etc/certs/openxpki_ca-two/.
Copie los archivos de clave en /etc/openxpki/ca/ca-two/.
Nota: Los archivos de clave deben ser legibles para OpenXPKI.
cp /etc/certs/openxpki_ca-two/ca-signer-1.key /etc/openxpki/ca/ca-two/
cp /etc/certs/openxpki_ca-two/vault-1.key /etc/openxpki/ca/ca-two/
cp /etc/certs/openxpki_ca-two/scep-1.key /etc/openxpki/ca/ca-two/
Cree el enlace simbólico. Además, cree un enlace simbólico para el certificado de la CA raíz.
Nota: Los enlaces simbólicos son alias utilizdos por la configuración predeterminada.
ln -s /etc/openxpki/ca/ca-one/ca-root-1.crt /etc/openxpki/ca/ca-two/ca-root-1.crt
ln -s /etc/openxpki/ca/ca-two/ca-signer-1.key /etc/openxpki/ca/ca-two/ca-signer-1.pem
ln -s /etc/openxpki/ca/ca-two/scep-1.key /etc/openxpki/ca/ca-two/scep-1.pem
ln -s /etc/openxpki/ca/ca-two/vault-1.key /etc/openxpki/ca/ca-two/vault-1.pem
Importe el certificado de firmante, el certificado de almacén y el certificado SCEP a la base de datos con los tokens adecuados para ca-two.
openxpkiadm certificate import --file /etc/certs/openxpki_ca-two/ca-signer-1.crt --realm ca-two –issuer /etc/openxpki/ca/ca-two/ca-one-1.crt --token certsign
openxpkiadm certificate import --file /etc/certs/openxpki_ca-two/scep-1.crt --realm ca-two --token scep
openxpkiadm certificate import --file /etc/certs/openxpki_ca-two/vault-1.crt --realm ca-two --token datasafe
Compruebe si la importación se realiza correctamente utilizando openxpkiadm alias --realm ca-two.
Salida de ejemplo
=== functional token ===
scep (scep):
Alias : scep-1
Identifier: YsBNZ7JYTbx89F_-Z4jn_RPFFWo
NotBefore : 2015-01-30 20:44:40
NotAfter : 2016-01-30 20:44:40
vault (datasafe):
Alias : vault-1
Identifier: lZILS1l6Km5aIGS6pA7P7azAJic
NotBefore : 2015-01-30 20:44:40
NotAfter : 2016-01-30 20:44:40
ca-signer (certsign):
Alias : ca-signer-1
Identifier: Sw_IY7AdoGUp28F_cFEdhbtI9pE
NotBefore : 2015-01-30 20:44:40
NotAfter : 2018-01-29 20:44:40
=== root ca ===
current root ca:
Alias : root-1
Identifier: fVrqJAlpotPaisOAsnxa9cglXCc
NotBefore : 2015-01-30 20:44:39
NotAfter : 2020-01-30 20:44:39
upcoming root ca:
not set
En este caso, la información de la CA raíz es la misma para ca-one y ca-two.
Si ha cambiado la contraseña de la clave de certificado durante la creación del certificado, actualice nano /etc/openxpki/config.d/realm/ca-two/crypto.yaml.
Genere las CRL para este dominio. Para obtener más información, consulte Generación de información de la CRL.
Publique las CRL para este dominio. Para obtener más información, consulte Configuración de la accesibilidad de la CRL.
Reinicie el servicio OpenXPKI mediante openxpkictl restart.
Salida de ejemplo
Stopping OpenXPKI
Stopping gracefully, 3 (sub)processes remaining...
DONE.
Starting OpenXPKI...
OpenXPKI Server is running and accepting requests.
DONE.
Realice lo siguiente para acceder al servidor OpenXPKI:
En un navegador web, escriba http://ipaddress/openxpki/.
Inicie sesión como Operador. La contraseña predeterminada es openxpki.
Nota: El inicio de sesión del operador tiene dos cuentas de operador preconfiguradas, raop y raop2.