打造自己的认证中心JEBCα.docVIP

EJBCA：打造独立的网络公安局 为了将高强度的加密产品推广到现实生活中，计算机专家们想了许多办法，公钥基础设施 (Public Key Infrastructure，PKI)就是目前应用十分广泛的一种加密系统。其最大优点在于使用了公钥加密技术，并且引入了具有公信力的第三方。这里所介绍的EJBCA就是这样一个功能齐全、易于安装的证书认证系统。它是一个源代码开放的、功能齐全并易于安装配置证书的认证系统，可以从/下载。通过EJBCA软件的安装使用，普通用户也能轻松领略加解密世界的奥妙！ EJBCA由5部分组成：认证中心、注册机构、 证书库、证书申请者和证书信任方。其中，认证中心、注册机构和证书库3部分是PKI的基本部分，证书申请者和证书信任方是参加网上交易的主体。由此可见，PKI就是一个现实生活中公安局的网络再现。 6.3.1? EJBCA系统的安装 (1)需要的软件如表6.1所示。 表6.1? 需要的软件 软件名称及版本 下载地址 JDK1.6.0_9 / JBOSS-4.2.2.GA ejbca_3_6_1 /download.htm apache-ant-1.7.0 /ant/ jce_policy-1_6_0 /javase/downloads/index.jsp (2)设置环境变量。 在Windows中，使用鼠标右键单击我的电脑，在菜单中选择属性命令，打开高级选项卡，然后点击环境变量按钮，弹出环境变量对话框。在系统变量栏中，单击新建按钮，在变量名后填入JAVA_HOME，填入变量值D:\java\jdk1.6.0。如图6.17所示。 采用类似的方法，设置如表6.2所示的环境变量。其中，变量值中的%是通配符。 (3)修改加密包。为了解决美国出口限制，还需要下载强加密包。首先将jce高强度加密包解压缩，并覆盖到%JAVA_HOME%/jre/lib/security。 ? 图6.17? 设置环境变量 表6.2? 环境变量 变 量 名 变 量 值 JAVA_HOME D:\java\jdk1.6.0 EJBCA_HOME D:\ejbca JBOSS_HOME D:\ejbca\jboss-4.2.2 ANT_HOME D:\ejbca\apache-ant-1.7.0 PATH PATH;%JAVA_HOME%\BIN;% JBOSS_HOME%\BIN;%ANT_HOME%\bin; CLASSPATH .;%JAVA_HOME%\lib\dt.jar;%JAVA_ HOME%\lib\tools.jar;%JAVA_HOME%\lib; (4)初步生成部署文件ejbca.ear。在%EJBCA_HOME%目录下，运行ant bootstrap。安装过程中，由于内存处理任务较繁重，为了防止内存溢出错误，需要设置ANT_OPTS变量。可以设置环境变量：ANT_OPTS=-Xmx512m。 (5)启动JBoss并初始化CA系统。运行%JBOSS_HOME%/run.bat文件。同时，在%EJBCA_ HOME%/下，运行以下命令：ant install，安装管理CA并初始化EJBCA系统。安装完毕，停止JBoss。如图6.18所示。 ?? 图6.18? 启动JBoss并初始化CA系统 (6)重新部署整个系统。在%EJBCA_HOME%目录下，运行命令：ant deploy。将重新部署整个系统，并用密钥库配置Sevlet容器。 (7)将%EJBCA_HOME%/p12/superadmin.p12证书导入浏览器，默认密码是ejbca。选择证书文件，并单击右键，在弹出的对话框中选择安装PFX，就会打开导入证书的对话框。如图6.19所示。 ? 图6.19? 证书导入向导 (8)重新启动JBoss。登录http://localhost:8080/ejbca/。如果可以进入管理员(administrator)页面(证书提示)，说明安装成功。管理地址为https://localhost:8443/ejbca/adminweb/index.jsp。分别单击左侧的系统配置、个人选项，在右侧的管理员首选项中，设置Web界面默认语言为ZH(中文)。设置完毕，界面如图6.20所示。 ? 图6.20? EJBCA管理界面 6.3.2? PKI技术的产品实现--数字证书 数字证书类似于日常生活中的身份证，它包含了许多个人的重要信息，如用户身份、公开密钥、有效期、授权信息等，它实现了身份识别、完整性、真实性及不可否认性等安全要素。证书格式及证书内容通常遵循X.509标准，目前使用较多的是1997年提出的V3版本。 从证书的一般用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，