EJBCA CA haldamine

Allikas: Imre kasutab arvutit

Sisukord

Sissejuhatus

EJBCA sisaldab tervet komplekti PKI pidamiseks vajalikku, käesolev tekst keskendub sertifikaatide väljaandmise ettevalmistamise ja väljaandmise küsimustele; eeldusel, et EJBCA tarkvara on tööle seatud.

Tööpõhimõte

  • Hierarhia on tehtud sk.ee eeskujul, järgnevates alapunktides esitatakse SK sertifikaadide väärtused ja vastavad Moraal OÜ väärtused
  • kõiki sertifikaate, mille suhtes antakse välja teisi sertifikaate nimetatakse CA sertifikaatideks (nii on olemas ROOT CA, SUB CA 1, SUB CA 2 jne)
  • üldiselt tuleks iga CA jaoks kasutada oma Crypto Token'it, see annab edaspidi paindlikkuse nt lülitada ROOT CA offline, paigutada eraldi arvutile jms

CA sisaldab (ROOT CA, SUB CA)

  • privaatset ja avalikku võtit (vastava Token kaudu)
  • sertifikaadi omadusi määravad parameetrid (issuer, kehtivuse aeg jne)
  • OCSP genereerimine ja sertifikaadis olev URL
  • CRL genereerimine ja sertifikaadis olev URL (kui tihti genereeritakse)

Token sisaldab

  • defaultkey
  • signkey
  • testkey

CA sertifikaadi profiil sisaldab

  • Signature Algorithm
  • Basic Constraints
  • Key Usage
  • Extended Key Usage
  • Certificate Policies

End Entity profiil sisaldab

  • Subject DN Attributes

End Entity sisaldab

  • Kasutajanimi
  • Parool

Sertifikaate saab uurida kolme utiliidiga

  • openssl x509 - hästi levinud aga annab üldiselt segaseid vastuseid
  • certtool - hea
  • dumpasn1 - saavutab kõige täpsema tulemuse

Windows keskkonnas on kaustada nn ASN.1 editorid, sisuliselt sobivad nad peamiselt sertifikaatide uurimiseks.

Sertifikaate tekitatakse EJBCA keskkonnas kahel viisil

  • CA sertifikaadid tekitatakse EJBCA Administration keskkonnas
  • End Entity sertifikaadid tekitatakse EJBCA Public Web keskkonnas

ROOT CA

  • Subject SK - C=EE,O=AS Sertifitseerimiskeskus,CN=EE Certification Centre Root CA,emailAddress=pki@sk.ee
  • Subject Moraal - C=EE,O=Moraal OÜ,CN=EE Moraal Root CA,emailAddress=pki@moraal.ee
  • Issuer sama mis Subject
  • võtme pikkus SK - 2048
  • võtme pikkus Moraal - 2048
  • kehtivusaeg SK - 20 aastat
  • kehtivusaeg Moraal - 20 aastat
  • Signature Algorithm SK - sha1WithRSAEncryption
  • Signature Algorithm Moraal - sha256WithRSAEncryption
  • Subject Public Key Info - Public Key Algorithm: rsaEncryption

SK väärtused

$ certtool -i --infile failinimi.crt
..
Issuer: C=EE,O=AS Sertifitseerimiskeskus,CN=EE Certification Centre Root CA,EMAIL=pki@sk.ee
Validity:
        Not Before: Sat Oct 30 10:10:30 UTC 2010
        Not After: Tue Dec 17 23:59:59 UTC 2030
Subject: C=EE,O=AS Sertifitseerimiskeskus,CN=EE Certification Centre Root CA,EMAIL=pki@sk.ee
Subject Public Key Algorithm: RSA
Algorithm Security Level: Medium (2048 bits)
        Modulus (bits 2048):
                00:c8:20:c0:ec:e0:c5:4b:ab:07:78:95:f3:44:ee:fb
                0b:0c:ff:74:8e:61:bb:b1:62:ea:23:d8:ab:a1:65:32
                ..

Extensions:
        Basic Constraints (critical):
                Certificate Authority (CA): TRUE
        Key Usage (critical):
                Certificate signing.
                CRL signing.
        Subject Key Identifier (not critical):
                12f25a3eea561cbfcd06acf1f125c9a94bd41499
        Key Purpose (not critical):
                TLS WWW Client.
                TLS WWW Server.
                Code signing.
                Email protection.
                Time stamping.
                OCSP signing.
Signature Algorithm: RSA-SHA1
Signature:
        7b:f6:e4:c0:0d:aa:19:47:b7:4d:57:a3:fe:ad:bb:b1
        6a:d5:0f:9e:db:e4:63:c5:8e:a1:50:56:93:96:b8:38
        ...

SUB CA

Üks SUB CA on nn KLASS3-XXX 2010 sertifikaat ehk vahesertifikaat.

  • Subject SK - C=EE, O=AS Sertifitseerimiskeskus, OU=Sertifitseerimisteenused, CN=KLASS3-SK 2010
  • Subject Moraal - C=EE, O=Moraal OÜ, OU=Sertifitseerimisteenused, CN=KLASS3-MORAAL 2010
  • Issuer SK - Issuer: C=EE, O=AS Sertifitseerimiskeskus, CN=EE Certification Centre Root CA/emailAddress=pki@sk.ee
  • Issuer Moraal - C=EE, O=Moraal OÜ, CN=EE Moraal Root CA/emailAddress=pki@moraal.ee
  • võtme pikkus SK - 2048
  • võtme pikkus Moraal - 2048
  • kehtivusaeg SK - 9 aastat
  • kehtivusaeg Moraal - 19 aastat
  • Signature Algorithm SK - sha384WithRSAEncryption
  • Signature Algorithm Moraal - sha384WithRSAEncryption
  • Subject Public Key Info - Public Key Algorithm: rsaEncryption

SK väärtused

$ certtool -i --infile failinimi.crt
..
Issuer: C=EE,O=AS Sertifitseerimiskeskus,CN=EE Certification Centre Root CA,EMAIL=pki@sk.ee
Validity:
        Not Before: Thu Jun 04 13:50:21 UTC 2015
        Not After: Sun Mar 17 22:00:00 UTC 2024
Subject: C=EE,O=AS Sertifitseerimiskeskus,OU=Sertifitseerimisteenused,CN=KLASS3-SK 2010
Subject Public Key Algorithm: RSA
Algorithm Security Level: Medium (2048 bits)
        Modulus (bits 2048):
                00:ab:95:a6:11:5f:6b:fc:f6:4f:07:77:40:03:68:e7
                e7:51:c2:27:ee:23:3a:68:e5:e4:01:1f:a3:a7:9f:36
                ...

        Exponent (bits 24):
                01:00:01
Extensions:
        Basic Constraints (critical):
                Certificate Authority (CA): TRUE
                Path Length Constraint: 0
        Key Usage (critical):
                Digital signature.
                Non repudiation.
                Certificate signing.
                CRL signing.
        Certificate Policies (not critical):
                1.3.6.1.4.1.10015.100.1.1.1
                        URI: https://www.sk.ee/cps
                        Note: Asutuse sertifikaat. Corporate ID.
        Subject Key Identifier (not critical):
                5d7514118cf4a58e428f7bb24044a3eed67a3b72
        Authority Key Identifier (not critical):
                12f25a3eea561cbfcd06acf1f125c9a94bd41499
        Authority Information Access (not critical):
                Access Method: 1.3.6.1.5.5.7.48.1 (id-ad-ocsp)
                Access Location URI: http://ocsp.sk.ee/CA
                Access Method: 1.3.6.1.5.5.7.48.2 (id-ad-caIssuers)
                Access Location URI: http://www.sk.ee/certs/EE_Certification_Centre_Root_CA.der.crt
        CRL Distribution points (not critical):
                URI: http://www.sk.ee/repository/crls/eeccrca.crl
Signature Algorithm: RSA-SHA384
Signature:
        78:ff:44:cb:5d:db:4c:4e:7c:e5:f1:9f:35:d2:54:77
        a4:44:82:ab:ab:9e:41:1b:c6:3c:f9:76:8a:c1:9e:de
        ...

End Entity sertifikaat

Üks End Entity sertifikaat on nt veebiserveri sertifikaat.

  • Subject SK - Subject: ST=Harjumaa, L=Tallinn, C=EE, O=Riigi Infos\xC3\xBCsteemi Amet, CN=sr.riik.ee
  • Subject Moraal - Subject: ST=Tartumaa, L=Tartu, C=EE, O=Moraal OÜ, CN=moraal.ee
  • Issuer SK - C=EE, O=AS Sertifitseerimiskeskus, OU=Sertifitseerimisteenused, CN=KLASS3-SK 2010
  • Issuer Moraal - C=EE, O=Moraal OÜ, OU=Sertifitseerimisteenused, CN=KLASS3-MORAAL 2010
  • võtme pikkus SK - 2048
  • võtme pikkus Moraal - 2048
  • kehtivusaeg SK - 3 aastat
  • kehtivusaeg Moraal - 18 aastat
  • Signature Algorithm SK - sha256WithRSAEncryption
  • Signature Algorithm Moraal - sha256WithRSAEncryption
  • Subject Public Key Info - Public Key Algorithm: rsaEncryption

SK väärtused

$ certtool -i --infile failinimi.crt
..
Issuer: C=EE,O=AS Sertifitseerimiskeskus,OU=Sertifitseerimisteenused,CN=KLASS3-SK 2010
Validity:
        Not Before: Fri Jul 08 12:15:28 UTC 2016
        Not After: Tue Jul 18 12:15:28 UTC 2017
Subject: ST=Harjumaa,L=Tallinn,C=EE,O=Riigi Infosüsteemi Amet,CN=sr.riik.ee
Subject Public Key Algorithm: RSA
Algorithm Security Level: Medium (2048 bits)
        Modulus (bits 2048):
                00:e1:76:cf:50:8b:2c:c3:d9:b7:d0:c3:67:72:cf:15
                d3:1f:cc:fa:d3:6c:56:9e:9a:c1:e7:a4:8f:f5:41:ff
                ...

        Exponent (bits 24):
                01:00:01
Extensions:
        Basic Constraints (not critical):
                Certificate Authority (CA): FALSE
        Certificate Policies (not critical):
                1.3.6.1.4.1.10015.7.2
                        URI: https://www.sk.ee/cps
                0.4.0.2042.1.7
                2.23.140.1.2.2
        Key Purpose (not critical):
                TLS WWW Server.
        Authority Key Identifier (not critical):
                5d7514118cf4a58e428f7bb24044a3eed67a3b72
        Key Usage (critical):
                Digital signature.
                Key encipherment.
        Subject Key Identifier (not critical):
                460ddfe861279db36ae9d23527a006cb59fa8589
        Subject Alternative Name (not critical):
                DNSname: sr.riik.ee
        Authority Information Access (not critical):
                   Access Method: 1.3.6.1.5.5.7.48.1 (id-ad-ocsp)
                       Access Location URI: http://ocsp.sk.ee/ssl
                       Access Method: 1.3.6.1.5.5.7.48.2 (id-ad-caIssuers)
                       Access Location URI: http://www.sk.ee/certs/KLASS3-SK_2010_ECCRCA.pem.crt
       Signature Algorithm: RSA-SHA256
       Signature:
               82:53:ec:9e:52:12:04:2b:d8:7f:3d:2d:b1:e2:99:b1
               8c:40:24:4f:e1:e3:a6:2e:1a:b6:d1:4f:17:e4:1b:aa
               ...

EJBCA kasutajate haldamine

EJBCA süsteemi haldavate kaustajate kontod ei ole nö tavalised /etc/passwd või LDAP moodi sissekanded, kus on kirjas kasutajanimi ja parool ning vastava kasutaja privileegid. EJBCA süsteemi haldavatele kasutajatele vastavad nö tavalised EJBCA poolt välja antud sertifikaadid; vastav privaatset võtit ja sertifikaati sisaldav .p12 fail on kasutaja brauserisse laaditud. Lisaks on EJBCA süsteemis kirjeldatud, milliste tunnustega kliendisertifikaadiga pöördujal on haldusliideses millised privileegid.

EJBCA paigaldamise järel on automaatselt tekitatud süsteemi mõned sertifikaadid, nt SuperAdmin, mille abil tuleb esmalt süsteemi siseneda ja seejärel tekitada tavalised vajalike privileegidega süsteemi haldamiseks vajalikud kasutajad. Järgnevates punktides kirjeldatakse sellise halduseks sobiva kasutajate tekitamist.

Moraal EJBCA KASUTAJAD Certificate Profile

'Moraal EJBCA KASUTAJAD Certificate Profile' profiili abil tekitatakse EJBCA süsteemi kasutajaid. St vastavad sertifikaadid usaldatakse inimeste, kes seejärel oma töökohaarvuti brauseritesse nad laadivad ja kasutavad neid EJBCA Web GUI poole pöördumiseks. Profiil moodustatakse ENDUSER profiili kloonides

  • Signature Algorithm - SHA256WithRSA
  • Validity - 6570d
  • Permissions - Allow subject DN override by CSR - linnuke
  • X.509v3 extensions - lisada Authority Key ID linnuke
  • X.509v3 extensions (Usages) - Key Usage - Non-repudiation linnuke eemaldada
  • X.509v3 extensions - Extended Key Usage - Client Authentication
  • Subject Alternative Name - linnuke eemaldada
  • Issuer Alternative Name - linnuke eemaldada
  • LDAP DN order - linnuke eemaldada
  • Available CAs - ManagementCA

Moraal EJBCA KASUTAJAD End Entity Profile

'Moraal EJBCA KASUTAJAD End Entity Profile' profiili abil tekitakse End Entity, mida kasutatakse süsteemi kasutajatele klindisertifikaatide genereerimiseks.

  • Username - tühi
  • Password - tühi
  • Minimum Password strength - 30
  • End Entity E-mail - linnuke eemaldada
  • CN, Common name - tühi (required ja modifiable)
  • O - Moraal OÜ (required ja not modifiable)
  • C - EE (required ja not modifiable)
  • L - Tartu (required ja not modifiable)
  • ST - Tartumaa (required ja not modifiable)
  • Default Certificate Profile - Moraal EJBCA KASUTAJAD Certificate Profile
  • Available Certificate Profiles - Moraal EJBCA KASUTAJAD Certificate Profile
  • Default CA - Management CA
  • Available CAs - Management CA
  • Default Token - User Generated

moraal-ejbca-kasutajad-end-entity Add End Entity

  • End Entity Profile - Moraal EJBCA KASUTAJAD End Entity Profile
  • Username - moraal-ejbca-kasutajad-end-entity
  • Enrollment Code
  • CN - placeholder

EJBCA kasutaja sertifikaadi tekitamine ja kasutamine

EJBCA kasutaja sertifikaadi moodustamiseks tuleb töökohaarvutis genereerida sertifikaadipäring, nt

$ openssl req -newkey rsa:2048 -nodes -sha256 -keyout imre.oolberg.key -out imre.oolberg.csr
Country Name (2 letter code) [AU]:EE
State or Province Name (full name) [Some-State]:Tartumaa
Locality Name (eg, city) []:Tartu
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Moraal OÜ
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:Imre Oolberg

Seejärel logida sisse Public Web keskkonnas ja liikuda sektsiooni

Certificate enrollment from a CSR

ning näidata

  • Username - moraal-ejbca-kasutajad-end-entity
  • Enrollment code - End Entity tekitamisel näidatud parool
  • Request file - töökohaarvutis moodustatud CSR fail
  • Result type - PEM (Certificate only)

Tulemusena tekitatakse sertifikaat

$ openssl x509 -in ImreOolberg.pem -noout -text
Certificate:
   Data:
       Version: 3 (0x2)
       Serial Number: 1786271117640779608 (0x18ca1c1e0f84c758)
   Signature Algorithm: sha256WithRSAEncryption
       Issuer: CN=ManagementCA, O=EJBCA Sample, C=SE
       Validity
           Not Before: Jul 31 13:48:48 2016 GMT
           Not After : Jul 19 16:31:53 2026 GMT
       Subject: C=EE, ST=Tartumaa, L=Tartu, O=Moraal OÜ, CN=Imre Oolberg
..
        X509v3 extensions:
           X509v3 Basic Constraints: critical
               CA:FALSE
           X509v3 Authority Key Identifier: 
               keyid:63:8C:40:1F:5E:2D:D3:BE:DC:7F:6D:53:4D:11:A2:FC:DA:5E:A9:1C

           X509v3 Extended Key Usage: 
               TLS Web Client Authentication
           X509v3 Subject Key Identifier: 
               45:E8:7A:00:81:F0:A4:9F:28:48:BB:3D:A3:03:97:0A:88:65:EE:22
           X509v3 Key Usage: critical
               Digital Signature, Key Encipherment
   Signature Algorithm: sha256WithRSAEncryption
        44:a0:d5:cf:58:27:2c:55:0d:6a:33:a9:bc:83:22:21:da:f5:
        d4:30:0c:41:ab:82:93:a7:09:d6:90:45:11:61:27:2a:5e:9d:
        ...

Vastava .p12 faili moodustamiseks sobib öelda töökohaarvutis

$ cat imre.oolberg.key imre.oolberg.crt > imre.oolberg-sisend-p12
$ openssl pkcs12 -export -in imre.oolberg-sisend-p12 -out imre.oolberg.p12

Selleks, et server usaldaks kõnealust kasutajat administraatori rollis tuleb avada

System Functions -> Administrator Roles

ning täita lahtrid

  • CA - ManagementCA
  • Match with - X509: CN, Common name
  • Match type - Eqal, case sens.
  • Match value - Imre Oolberg

samaväärne on öelda käsureal

$ bin/ejbca.sh roles addadmin --role "Super Administrator Role" --caname "ManagementCA" --with "WITH_COMMONNAME" \
  --type "TYPE_EQUALCASE" --value "Imre Oolberg"

Lõpuks, laadida .p12 kasutamiseks brauserisse ja pöörduda aadressile https://ejbca-ca.moraal.ee:8443/ejbca/.

Moraal ROOT CA haldamine

Moraal ROOT CA haldamine sisaldab

  • sertifikaadi genereerimist
  • sertifikaadi uuendamist

Moraal ROOT CA Crypto Token

Moraal ROOT CA Crypto Token tekitamiseks tuleb valida

CA Functions -> Crypto Tokens -> Create New
  • Name - Moraal ROOT CA Crypto Token
  • Type - SOFT
  • Authentication Code - xxx (vajalik priv võtme kasutamiseks, nt eksportimisel)
  • Auto-activation - linnuke
  • Export of private keys allowed - linnuke (tundub, et vastasel juhul ei saa varundamiseks eksportida priv võtit)

Seejärel tuleb tekitada võtmed

  • signKey - RSA 2048
  • defaultKey - RSA 2048
  • testKey - RSA 1024

Moraal ROOT CA Certificate Profile tekitamine

Valida (seal samas tehakse igasuguste sertifikaatide profiile s.h ROOT CA sertifikaat, SUB CA sertifikaat, End Entity sertifikaat, EJBCA kasutaja sertifikaat jt)

CA Functions -> Certificate Profiles -> ROOTCA -> Clone

ning tekitada profiil 'Moraal ROOT CA Certificate Profile'

Create from template

Seejärel kirjeldada erinevalt defaultist

  • Validity - 7300d
  • Authority Key ID - eemaldada linnuke
  • Key Usage - linnukesed on 'Use' ja 'Critical' juures ning 'Key certificate sign' ja 'CRL sign'
  • Extended Key Usage - linnukesed on 'Use' juures ning
Server Authentication
Client Authentication
Code Signing
Email Protection
Time Stamping
OCSP Signer
  • Subject Alternative Name - eemaldada linnuke
  • Issuer Alternative Name - eemaldada linnuke
  • LDAP DN order - eemaldada linnuke

Moraal ROOT CA tekitamine

Moraal ROOT CA on sertifikaat ja selle sertifikaadi haldus (nt sertifikaadi uuendamine). Moraal ROOT CA sertifikaadi suhtes antakse välja SUB CA sertifikaate, aga reeglina mitte nö lõppkasutaja sertifikaate. Valida

CA Functions -> Certificate Authorities -> Add CA

ja sisestada lahtrisse nimi 'Moraal ROOT CA' kuna tegu ei ole ainult sertifikaadiga, vaid kõnealune objekt sisaldab asju lisaks; ning

Create 

Seejärel kirjeldada

  • Signing Algorithm - SHA256WithRSA
  • Crypto Token - Moraal ROOT CA Crypto Token
  • CA certificate data -> Subject DN - C=EE,O=Moraal OÜ,CN=EE Moraal Root CA,emailAddress=pki@moraal.ee
  • CA certificate data -> Certificate Profile - Moraal ROOT CA Certificate Profile
  • CA certificate data -> Validity - 7300d
  • CA certificate data -> LDAP DN order - linnuke eemaldada
  • CRL Specific Data -> Authority Key ID - linnuke eemaldada
  • CRL Specific Data -> CRL Number - linnuke eemaldada
  • Other Data -> Finish User - linnuke eemaldad

ja pressida

Create

Tulemusena on tekkinud juur-sertifikaat, mille saab alla laadida

Public Web -> Fetch CA certificates

Sertifikaadi kirjeldamisel sisestatakse ühte 'Subject DN' lahtrisse üks pikk joru, mis sisuliselt koosneb elementidest (C, O jne), oluline on need üksteisest eraldada komadega. Tulemuse kontrollimiseks

  • certtool abil uurida ja veenduda, et on utf-8
$ certtool -i --infile moraal-root-ca.pem > moraal-root-ca.txt
$ file moraal-root-ca.txt 
moraal-root-ca.txt: UTF-8 Unicode text
  • dumpasn1 abil veenduda, et Subject elemendid on ilusad
 $ openssl x509 -inform pem -outform der -in moraal-root-ca.pem | dumpasn1 -a -
 ..
   38  116:     SEQUENCE {
  40   11:       SET {
  42    9:         SEQUENCE {
  44    3:           OBJECT IDENTIFIER countryName (2 5 4 6)
  49    2:           PrintableString 'EE'
         :           }
         :         }
  53   30:       SET {
  55   28:         SEQUENCE {
  57    3:           OBJECT IDENTIFIER organizationName (2 5 4 10)
  62   21:           UTF8String 'Moraal O..'
         :           }
         :         }
  85   37:       SET {
  87   35:         SEQUENCE {
  89    3:           OBJECT IDENTIFIER commonName (2 5 4 3)
  94   28:           UTF8String 'EE Moraal O.. Root CA'
         :           }
         :         }
 124   30:       SET {
 126   28:         SEQUENCE {
 128    9:           OBJECT IDENTIFIER emailAddress (1 2 840 113549 1 9 1)
 139   15:           IA5String 'pki@moraal.ee'
         :           }
         :         }
         :       }
 ...
 

Moraal KLASS3-MORAAL 2010 CA haldamine

Moraal KLASS3-MORAAL 2010 CA Crypto Token

Moraal KLASS3-MORAAL 2010 CA Crypto Token tekitamiseks tuleb valida

CA Functions -> Crypto Tokens -> Create New
  • Name - Moraal KLASS3-MORAAL 2010 CA Crypto Token
  • Type - SOFT
  • Authentication Code - xxx
  • Auto-activation - linnuke
  • Export of private keys allowed - linnuke

Seejärel tuleb tekitada võtmed

  • signKey - RSA 2048
  • defaultKey - RSA 2048
  • testKey - RSA 1024

Moraal KLASS3-MORAAL 2010 CA Certificate Profile tekitamine

Valida

CA Functions -> Certificate Profiles -> SUBCA Clone

ja tekitada

Moraal KLASS3-MORAAL 2010 CA Certificate Profile 

Seejärel kirjeldada

  • Signature Algorithm - SHA384WithRSA
  • Validity - 6935d
  • Path Length Constraint - Add linnukesega ja Value 0
  • Key Usage - Digital Signature, Non-repudiation, Key certificate sign, CRL sign
  • Subject Alternative Name - linnuke eemaldada
  • Issuer Alternative Name - linnuke eemaldada
  • LDAP DN order - linnuke eemaldada

Moraal KLASS3-MORAAL 2010 CA tekitamine

Valida

CA Functions -> Certificate Authorities -> Add CA

ning tekitada 'Moraal KLASS3-MORAAL 2010 CA'

Seejärel kirjeldada

  • Signing Algorithm - SHA384WithRSA
  • Crypto Token - Moraal KLASS3-MORAAL 2010 CA Crypto Token
  • Enforce unique DN - linnuke eemaldada (tundub, et nii saab paremini katsetada, võib jätta ka default'i)
  • CA certificate data -> Sujbect DN - C=EE, O=Moraal OÜ, OU=Sertifitseerimisteenused, CN=KLASS3-MORAAL 2010
  • CA certificate data -> Signed by - Moraal ROOT CA
  • CA certificate data -> Certificate profile - Moraal KLASS3-MORAAL 2010 CA Certificate Profile
  • CA certificate data -> Validity - 6935d
  • CA certificate data -> LDAP DN order - eemaldada linnuke
  • CRL Specific Data -> Authority Key ID - eemaldada linnuke
  • CRL Specific Data -> CRL Number - eemaldada linnuke
  • Other data -> Finish User - eemaldada linnuke

Moraal KLASS3-MORAAL 2010 End Entity haldamine

Käesolevas punktis käsitletakse nö tavalise https:// teenuse pakkumiseks vajaliku sertifikaadi haldamist.

End Entity paistab välja nagu EJBCA süsteemi klient-kasutaja, mille abil saab süsteemi logida sisse ja seejuures esitada nt CSR kujul sertifikaaditaotluse ning vastuseks annab süsteem koheselt välja sertifikaadi. EJBCA poolel pole Tokenit kuna privaatse võtme moodustab reeglina klient-kasutaja ise omal viisil.

Moraal KLASS3-MORAAL 2010 End Entity Certificate Profile

Vist on tehtud SERVER Clone teel

  • Signature Algorithm - SHA256WithRSA
  • Validity - 6570d
  • Allow subject DN override by CSR - linnuke
  • Basic Constraints -> Critical - linnuke eemaldada
  • Issuer Alternative Name - linnuke eemaldada
  • LDAP DN order - linnuke eemaldada
  • Available CAs - Moraal KLASS3-MORAAL 2010 End Entity Certificate
  • OCSP Service Locator URI - http://ocsp.moraal.ee/ssl

Moraal KLASS3-MORAAL 2010 End Entity Profile

TODO

  • Username - tühi (moraal-klass3-moraal-2010-end-entity)
  • Password - tühi
  • Minimum Password strength - 30
  • End Entity E-mail - linnuke eemaldada
  • CN, Common name - tühi (required ja modifiable)
  • O - Moraal OÜ (required ja not modifiable)
  • C - EE (required ja not modifiable)
  • L - Tartu (required ja not modifiable)
  • ST - Tartumaa (required ja not modifiable)
  • Subject Alternative Name -> DNS Name -> not required, modifiable
  • Default Certificate Profile - Default TLS Certificate Profile
  • Available Certificate Profiles - Default TLS Certificate Profile
  • Default CA - Moraal KLASS3-MORAAL 2010 CA Certificate
  • Available CAs - Moraal KLASS3-MORAAL 2010 CA Certificate
  • Default Token - User Generated

Moraal KLASS3-MORAAL 2010 End Entity

TODO

  • End Entity Profile - Moraal KLASS3-MORAAL 2010 End Entity Profile
  • CN, Common name - placeholder

Moraal KLASS3-MORAAL 2010 End Entity Certificate sertifikaadi väljastamine

Sertifikaadi väljastamiseks tuleb tekitada certificate request nö pem faili kujul ja see postitada EJBCA

Public Web -> Certificate enrollment from a CSR

seejuures näidata kasutamiseks usaldatud End Entity ligipääs. Vastuseks pakutakse alla laadida tekitatud sertifikaat.

Tulemus paistab selline

 $ openssl x509 -in sr.moraal.pem -noout -text
Certificate:
   Data:
       Version: 3 (0x2)
       Serial Number: 3417710131185720473 (0x2f6e2541aa941c99)
   Signature Algorithm: sha256WithRSAEncryption
       Issuer: C=EE, O=Moraal OÜ, OU=Sertifitseerimisteenused, CN=KLASS3-MORAAL 2010
       Validity
           Not Before: Jul 28 23:32:38 2016 GMT
           Not After : Jul 24 23:32:38 2034 GMT
       Subject: C=EE, ST=Tartumaa, L=Tartu, O=Moraal OÜ, CN=sr.moraal.ee
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
               Public-Key: (2048 bit)
               Modulus:
                   00:a5:d2:ca:57:70:1d:05:2b:81:68:64:31:8b:3b:
                   62:b5:c3:e4:8b:ea:90:5e:bc:c8:23:6a:62:37:49:
                   ff:f6:7a:ab:31:0a:38:b7:c3:09:6f:ad:b8:f5:d4:
                   ..
               Exponent: 65537 (0x10001)
       X509v3 extensions:
           X509v3 Basic Constraints: 
               CA:FALSE
           X509v3 Authority Key Identifier: 
               keyid:CF:84:9B:DB:51:86:B0:02:CC:74:DC:3A:4B:0B:6A:A6:21:AC:59:AF

           Authority Information Access: 
               OCSP - URI:http://ocsp.moraal.ee/ssl

           X509v3 Extended Key Usage: 
               TLS Web Server Authentication
           X509v3 Subject Key Identifier: 
               57:CB:A1:B1:E2:16:46:80:CD:4E:75:E5:21:F5:D2:EB:92:30:E8:3B
           X509v3 Key Usage: critical
               Digital Signature, Key Encipherment
   Signature Algorithm: sha256WithRSAEncryption
        7e:74:ff:84:2d:30:0d:ef:de:6c:85:9d:ae:f4:f3:f4:ea:a6:
        03:87:25:00:52:72:a0:7d:69:1e:96:aa:de:87:7e:83:4c:7a:
        4b:d4:c9:8f:b9:41:7c:7c:19:b5:06:fe:
        ...

X-tee turvaserveri sertifikaatide haldamine

SK Auth sertifikaat

Turvaserver genereerib sarnase sisuga sertifikaadipäringu

..
       Subject: serialNumber=70006543, CN=Riigi Ameti Nimi
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
               Public-Key: (2048 bit)
               Modulus:
                   00:a8:4a:92:79:4b:77:97:e2:2f:56:1f:9a:d6:fb:
                   49:39:39:b1:15:34:ac:d8:d7:dc:55:9c:66:4d:9e:
                   ...

millele vastuseks saab selliste omadustega SK auth sertifikaadi

Signature Algorithm: sha256WithRSAEncryption
    Issuer: C=EE, O=AS Sertifitseerimiskeskus, OU=Sertifitseerimisteenused, CN=KLASS3-SK 2010
    Validity
        Not Before: Apr 22 13:03:13 2016 GMT
        Not After : May 22 13:03:13 2019 GMT
    Subject: serialNumber=70006543, ST=Harjumaa, L=Tallinn, C=EE, O=Riigi Ameti Nimi, OU=Corporate Authentication 1, CN=Riigi Ameti Nimi
    Subject Public Key Info:
        Public Key Algorithm: rsaEncryption
..
     X509v3 extensions:
        X509v3 Basic Constraints: 
            CA:FALSE
        X509v3 Certificate Policies: 
            Policy: 1.3.6.1.4.1.10015.7.1.4
              CPS: https://www.sk.ee/cps

         X509v3 Extended Key Usage: 
            TLS Web Client Authentication
         X509v3 Authority Key Identifier: 
            keyid:5D:75:14:11:8C:F4:A5:8E:42:8F:7B:B2:40:44:A3:EE:D6:7A:3B:72

         X509v3 Key Usage: critical
             Digital Signature, Key Encipherment, Data Encipherment
         X509v3 Subject Key Identifier: 
             39:1C:7D:3A:C1:10:E3:1F:F1:40:9D:36:37:1D:CE:EC:11:B8:CC:E1
         X509v3 CRL Distribution Points: 

             Full Name:
               URI:http://www.sk.ee/crls/klass3/klass3-2010.crl

SK Sign sertifikaat

SK sign sertifikaadi omadused

Signature Algorithm: sha256WithRSAEncryption
  Issuer: C=EE, O=AS Sertifitseerimiskeskus, OU=Sertifitseerimisteenused, CN=KLASS3-SK 2010
   Validity
       Not Before: Apr 21 10:46:48 2016 GMT
       Not After : May 21 10:46:48 2019 GMT
   Subject: serialNumber=70006543, ST=Harjumaa, L=Tallinn, C=EE, O=Riigi Ameti Nimi, OU=Corporate Signature 4, CN=Riigi Ameti Nimi
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
               Public-Key: (2048 bit)
..
   X509v3 extensions:
      X509v3 Basic Constraints: 
           CA:FALSE
      X509v3 Certificate Policies: 
           Policy: 1.3.6.1.4.1.10015.7.1.4
             CPS: https://www.sk.ee/cps

      X509v3 Authority Key Identifier: 
            keyid:5D:75:14:11:8C:F4:A5:8E:42:8F:7B:B2:40:44:A3:EE:D6:7A:3B:72

      X509v3 Key Usage: critical
            Non Repudiation
      X509v3 Subject Key Identifier: 
            AD:98:4A:EA:BD:7C:1F:93:96:9F:B7:53:88:7A:37:B9:4A:CE:01:67
      X509v3 CRL Distribution Points: 

          Full Name:
              URI:http://www.sk.ee/crls/klass3/klass3-2010.crl

Moraal KLASS3-MORAAL 2010 X-tee Auth End Entity haldamine

End Entity paistab välja nagu EJBCA süsteemi klient-kasutaja, mille abil saab süsteemi logida sisse ja seejuures esitada nt CSR kujul sertifikaaditaotluse ning vastuseks annab süsteem koheselt välja sertifikaadi. EJBCA poolel pole Tokenit kuna privaatse võtme moodustab reeglina klient-kasutaja ise omal viisil.

SK X-tee Auth sertifikaat

    Signature Algorithm: sha256WithRSAEncryption
       Issuer: C=EE, O=AS Sertifitseerimiskeskus, OU=Sertifitseerimisteenused, CN=KLASS3-SK 2010
       Validity
           Not Before: Apr 22 13:01:57 2016 GMT
           Not After : May 22 13:01:57 2019 GMT
       Subject: serialNumber=70006543, ST=Harjumaa, L=Tallinn, C=EE, O=Riigi Amet, OU=Corporate Authentication, CN=Riigi Amet
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
               Public-Key: (2048 bit)
               Modulus:
                   00:a8:4a:92:79:4b:77:97:e2:2f:56:1f:9a:d6:fb:
                   49:39:39:b1:15:34:ac:d8:d7:dc:55:9c:66:4d:9e:
                   9f:f2:17:79:a9:f9:84:d1:2b:4a:ce:d3:87:57:c1:
                   ...

       X509v3 extensions:
           X509v3 Basic Constraints: 
               CA:FALSE
           X509v3 Certificate Policies: 
               Policy: 1.3.6.1.4.1.10015.7.1.4
                 CPS: https://www.sk.ee/cps
 
           X509v3 Extended Key Usage: 
               TLS Web Client Authentication
           X509v3 Authority Key Identifier: 
               keyid:5D:75:14:11:8C:F4:A5:8E:42:8F:7B:B2:40:44:A3:EE:D6:7A:3B:72

           X509v3 Key Usage: critical
               Digital Signature, Key Encipherment, Data Encipherment
           X509v3 Subject Key Identifier: 
               11:A7:4D:99:B3:5A:AB:11:8A:41:54:0E:92:2A:4D:25:E3:C9:3C:EA
           X509v3 CRL Distribution Points: 

               Full Name:
                 URI:http://www.sk.ee/crls/klass3/klass3-2010.crl

   Signature Algorithm: sha256WithRSAEncryption
        3b:9f:be:a0:5d:d7:aa:37:4a:fd:a0:c4:8d:02:4b:49:c9:d6:
        44:8d:d5:98:4d:0f:fd:19:4f:9d:14:94:d5:c8:10:56:40:14:
        ...

Moraal KLASS3-MORAAL 2010 X-tee Auth End Entity Certificate Profile

Valida

CA Functions -> Certificate Profiles -> SERVER Clone

ja tekitada

Moraal KLASS3-MORAAL 2010 X-tee Auth End Entity Certificate Profile
  • Signature Algorithm - SHA256WithRSA
  • Validity - 6570d
  • Allow subject DN override by CSR - linnuke puudub
  • Basic Constraints -> Critical - linnuke eemaldada
  • Key Usage -> Use linnuke, Critical linnuke, Key Usage linnukesed: Digital Signature, Key encipherment, Data encipherment
  • Extended Key Usage -> Client Authentication
  • Subject Alternative Name - linnuke eemaldada
  • Issuer Alternative Name - linnuke eemaldada
  • LDAP DN order - linnuke eemaldada
  • Available CAs - Moraal KLASS3-MORAAL 2010 CA

Moraal KLASS3-MORAAL 2010 X-tee Auth End Entity Profile

Valida

RA Functions -> End Entity Profiles -> Moraal KLASS3-MORAAL 2010 X-tee Auth End Entity Profile
  • Username - tühi
  • Password - tühi
  • Minimum Password strength - 30
  • End Entity E-mail - linnuke eemaldada
  • CN, Common name - Moraal OÜ (required ja modifiable)
  • O - Moraal OÜ (required ja modifiable)
  • C - EE (required ja modifiable)
  • L - Tartu (required ja modifiable)
  • ST - Tartumaa (required ja modifiable)
  • serialNumber - 00000000
  • OU - Corporate Authentication
  • Default Certificate Profile - Moraal KLASS3-MORAAL 2010 X-tee Auth End Entity Certificate Profile
  • Available Certificate Profiles - Moraal KLASS3-MORAAL 2010 X-tee Auth End Entity Certificate Profile
  • Default CA - Moraal KLASS3-MORAAL 2010 CA
  • Available CAs - Moraal KLASS3-MORAAL 2010 CA
  • Default Token - User Generated

Moraal KLASS3-MORAAL 2010 X-tee Auth End Entity

Valida

RA Functions -> Add End Entity
  • End Entity Profile - Moraal KLASS3-MORAAL 2010 X-tee Auth End Entity Profile
  • Username - moraal-klass3-moraal-2010-x-tee-auth-end-entity
  • Password - parool
  • Subject DN Attributes väärtused tulevad profiilist

Moraal KLASS3-MORAAL 2010 X-tee Auth End Entity sertifikaadi väljastamine

Sertifikaadi väljastamiseks tuleb tekitada certificate request nö pem faili kujul, reeglina tekitatakse see turvaserveri haldusliideses

$ openssl req -nodes -sha256 -new -keyout turvaserver-auth.key -newkey rsa:2048 > turvaserver.auth.csr

Seejärel tuleb redigeerida End Entity sissekannet valides

Search End Entities -> Search end entities with status - All -> Search -> 
  moraal-klass3-moraal-2010-x-tee-auth-end-entity -> Edit_End_Entity

ning täita lahtrid konkreetse kasutaja andmetega

  • serialNumber
  • ST
  • L
  • C
  • O
  • OU
  • CN

Salvestada ning Public Web liideses sertifikaadi päring postitada

Public Web -> Certificate enrollment from a CSR

seejuures näidata kasutamiseks usaldatud End Entity ligipääs. Vastuseks pakutakse alla laadida tekitatud sertifikaat.

Tulemus paistab selline

    Signature Algorithm: sha256WithRSAEncryption
       Issuer: C=EE, O=Moraal OÜ, OU=Sertifitseerimisteenused, CN=KLASS3-MORAAL 2010
       Validity
           Not Before: Aug  2 21:16:17 2016 GMT
           Not After : Jul 29 21:16:17 2034 GMT
       Subject: C=EE, ST=Harjumaa, L=Tallinn, O=Moraal O\xC3\x9C, OU=Corporate Authentication 1/serialNumber=12345678, CN=Moraal O\xC3\x9C
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
               Public-Key: (2048 bit)
               Modulus:
                   00:ad:d0:ac:8d:3c:f0:77:eb:24:30:65:bc:a4:ad:
                   79:db:0b:4e:b8:36:c0:96:d9:66:57:c8:95:f0:e1:
                   70:00:54:35:eb:05:59:86:58:86:8d:b1:81:bd:fd:
                   ..
         X509v3 extensions:
           X509v3 Basic Constraints: 
               CA:FALSE
           X509v3 Authority Key Identifier: 
               keyid:A8:47:D5:5B:A5:9A:CF:30:AE:90:93:8C:53:CF:3A:53:33:55:07:62

           X509v3 Extended Key Usage: 
               TLS Web Client Authentication
           X509v3 Subject Key Identifier: 
               E6:98:E0:E3:44:7A:A9:B6:94:CF:16:89:24:75:A6:8A:E6:6B:51:B0
           X509v3 Key Usage: critical
               Digital Signature, Key Encipherment, Data Encipherment
   Signature Algorithm: sha256WithRSAEncryption
        64:19:66:d6:c8:1e:e3:f0:b9:61:d5:e5:5a:6c:49:42:36:14:
        61:c3:2a:ea:0d:f0:f4:49:b7:37:ef:95:c3:ec:6c:10:f5:39:
        ..

kus

  • openssl iseärasuste tõttu on OU / serialNumber eraldaja /

Moraal KLASS3-MORAAL 2010 X-tee Sign End Entity haldamine

End Entity paistab välja nagu EJBCA süsteemi klient-kasutaja, mille abil saab süsteemi logida sisse ja seejuures esitada nt CSR kujul sertifikaaditaotluse ning vastuseks annab süsteem koheselt välja sertifikaadi. EJBCA poolel pole Tokenit kuna privaatse võtme moodustab reeglina klient-kasutaja ise omal viisil.

SK X-tee Sign sertifikaat

    Signature Algorithm: sha256WithRSAEncryption
       Issuer: C=EE, O=AS Sertifitseerimiskeskus, OU=Sertifitseerimisteenused, CN=KLASS3-SK 2010
       Validity
           Not Before: Apr 21 10:45:28 2016 GMT
           Not After : May 21 10:45:28 2019 GMT
       Subject: serialNumber=70006317, ST=Harjumaa, L=Tallinn, C=EE, O=Riigi Amet, OU=Corporate Signature 3, CN=Riigi Amet
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
               Public-Key: (2048 bit)
               Modulus:
                   00:d5:d8:f3:76:8c:06:20:c6:ca:3b:f9:17:da:ce:
                   7c:e5:ad:cb:e5:e6:0d:b8:b2:a3:d6:a0:2b:ca:f6:
                   ..

        X509v3 extensions:
           X509v3 Basic Constraints: 
               CA:FALSE
           X509v3 Certificate Policies: 
               Policy: 1.3.6.1.4.1.10015.7.1.4
                 CPS: https://www.sk.ee/cps

           X509v3 Authority Key Identifier: 
               keyid:5D:75:14:11:8C:F4:A5:8E:42:8F:7B:B2:40:44:A3:EE:D6:7A:3B:72

           X509v3 Key Usage: critical
               Non Repudiation
           X509v3 Subject Key Identifier: 
               C1:C5:D7:46:61:86:B2:2D:D7:8A:FA:43:8A:68:F2:FC:A6:EC:90:79
           X509v3 CRL Distribution Points: 

               Full Name:
                 URI:http://www.sk.ee/crls/klass3/klass3-2010.crl

   Signature Algorithm: sha256WithRSAEncryption
        38:fc:82:0d:f1:7e:b0:0e:d8:1c:1b:8f:08:a6:ec:a9:8f:30:
        ...
      

Moraal KLASS3-MORAAL 2010 X-tee Sign End Entity Certificate Profile

Valida

CA Functions -> Certificate Profiles -> SERVER Clone

ja tekitada

Moraal KLASS3-MORAAL 2010 X-tee Sign End Entity Certificate Profile
  • Signature Algorithm - SHA256WithRSA
  • Validity - 6570d
  • Allow subject DN override by CSR - linnuke puudub
  • Basic Constraints -> Critical - linnuke eemaldada
  • Key Usage -> Use linnuke, Critical linnuke, Key Usage linnukesed: Non-repudiation
  • Extended Key Usage -> Use - linnuke eemaldada
  • Subject Alternative Name - linnuke eemaldada
  • Issuer Alternative Name - linnuke eemaldada
  • LDAP DN order - linnuke eemaldada
  • Available CAs - Moraal KLASS3-MORAAL 2010 CA

Moraal KLASS3-MORAAL 2010 X-tee Sign End Entity Profile

Valida

RA Functions -> End Entity Profiles -> Moraal KLASS3-MORAAL 2010 X-tee Sign End Entity Profile
  • Username - tühi
  • Password - tühi
  • Minimum Password strength - 30
  • End Entity E-mail - linnuke eemaldada
  • CN, Common name - Moraal OÜ (required ja modifiable)
  • O - Moraal OÜ (required ja modifiable)
  • C - EE (required ja modifiable)
  • L - Tartu (required ja modifiable)
  • ST - Tartumaa (required ja modifiable)
  • serialNumber - 00000000 (required ja modifiable)
  • OU - Corporate Authentication (required ja modifiable)
  • Default Certificate Profile - Moraal KLASS3-MORAAL 2010 X-tee Sign End Entity Certificate Profile
  • Available Certificate Profiles - Moraal KLASS3-MORAAL 2010 X-tee Sign End Entity Certificate Profile
  • Default CA - Moraal KLASS3-MORAAL 2010 CA
  • Available CAs - Moraal KLASS3-MORAAL 2010 CA
  • Default Token - User Generated

Moraal KLASS3-MORAAL 2010 X-tee Sign End Entity

Valida

RA Functions -> Add End Entity
  • End Entity Profile - Moraal KLASS3-MORAAL 2010 X-tee Sign End Entity Profile
  • Username - moraal-klass3-moraal-2010-x-tee-sign-end-entity
  • Password - parool
  • Subject DN Attributes väärtused tulevad profiilist

Moraal KLASS3-MORAAL 2010 X-tee Sign End Entity sertifikaadi väljastamine

Sertifikaadi väljastamiseks tuleb tekitada certificate request nö pem faili kujul, reeglina tekitatakse see turvaserveri haldusliideses

$ openssl req -nodes -sha256 -new -keyout turvaserver-sign.key -newkey rsa:2048 > turvaserver-sign.csr

Seejärel tuleb redigeerida End Entity sissekannet valides

Search End Entities -> Search end entities with status - All -> Search -> 
  moraal-klass3-moraal-2010-x-tee-sign-end-entity -> Edit_End_Entity

ning täita lahtrid konkreetse kasutaja andmetega

  • serialNumber
  • ST
  • L
  • C
  • O
  • OU
  • CN

Salvestada ning Public Web liideses sertifikaadi päring postitada

Public Web -> Certificate enrollment from a CSR

seejuures näidata kasutamiseks usaldatud End Entity ligipääs. Vastuseks pakutakse alla laadida tekitatud sertifikaat.

Tulemus paistab selline

    Signature Algorithm: sha256WithRSAEncryption
       Issuer: C=EE, O=Moraal OÜ, OU=Sertifitseerimisteenused, CN=KLASS3-MORAAL 2010
       Validity
           Not Before: Aug  3 10:26:09 2016 GMT
           Not After : Jul 30 10:26:09 2034 GMT
       Subject: C=EE, ST=Harjumaa, L=Tallinn, O=Moraal O\xC3\x9C, OU=Corporate Signature/serialNumber=12345678, CN=Moraal O\xC3\x9C
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
               Public-Key: (2048 bit)
               Modulus:
                   00:b0:7c:bd:9e:2e:e7:1f:2e:4a:fa:d9:71:2d:67:
                   49:48:1a:36:b6:58:33:b5:83:2d:db:a1:79:8c:af:
                   ..

               Exponent: 65537 (0x10001)
       X509v3 extensions:
           X509v3 Basic Constraints: 
               CA:FALSE
           X509v3 Authority Key Identifier: 
               keyid:A8:47:D5:5B:A5:9A:CF:30:AE:90:93:8C:53:CF:3A:53:33:55:07:62

           X509v3 Subject Key Identifier: 
               99:C8:97:DA:38:8E:3A:7F:38:0C:B7:E4:68:7E:DA:37:9F:64:D8:ED
           X509v3 Key Usage: critical
               Non Repudiation
   Signature Algorithm: sha256WithRSAEncryption
        18:b6:31:95:47:18:c3:c8:7e:06:66:3c:b2:64:4d:10:f9:5b:
        07:9d:2f:38:a3:d6:0e:0f:1b:ef:19:0e:6d:30:68:3e:11:ca:
        ...

kus

  • openssl iseärasuste tõttu on OU / serialNumber eraldaja /

MORAAL TIMESTAMPING AUTHORITY End Entity haldamine

TODO

SK TIMESTAMPING AUTHORITY sertifikaat

SK sertifikaat

   Signature Algorithm: sha256WithRSAEncryption
       Issuer: C=EE, O=AS Sertifitseerimiskeskus, CN=EE Certification Centre Root CA/emailAddress=pki@sk.ee
       Validity
           Not Before: Sep 16 08:40:38 2014 GMT
           Not After : Sep 16 08:40:38 2019 GMT
       Subject: C=EE, O=AS Sertifitseerimiskeskus, OU=TSA, CN=SK TIMESTAMPING AUTHORITY
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
               Public-Key: (2048 bit)
               Modulus:
                   00:93:da:fd:d4:0a:7a:64:8a:08:d4:b0:94:c5:29:
                   f5:82:90:63:ac:d0:39:fb:3d:be:05:27:6f:34:d1:
                   ..

           X509v3 extensions:
           X509v3 Key Usage: critical
               Digital Signature, Non Repudiation
           X509v3 Extended Key Usage: critical
               Time Stamping
           X509v3 Subject Key Identifier: 
               B1:B0:BD:F7:E6:A0:69:16:6C:20:E5:51:FB:5C:F4:30:62:73:57:27
           X509v3 Authority Key Identifier: 
               keyid:12:F2:5A:3E:EA:56:1C:BF:CD:06:AC:F1:F1:25:C9:A9:4B:D4:14:99

           X509v3 CRL Distribution Points: 

               Full Name:
                 URI:http://www.sk.ee/repository/crls/eeccrca.crl

   Signature Algorithm: sha256WithRSAEncryption
        a8:a5:c5:3d:df:6c:15:3c:3e:9e:79:df:ac:0c:18:6d:e3:3b:
        7e:90:c3:cf:15:7b:f5:a4:85:f4:46:06:e2:cd:a2:af:1d:65:
        ...

MORAAL TIMESTAMPING AUTHORITY End Entity Certificate Profile

Valida

CA Functions -> Certificate Profiles -> SERVER Clone

ja tekitada

MORAAL TIMESTAMPING AUTHORITY End Entity Certificate Profile
  • Signature Algorithm - SHA256WithRSA
  • Validity - 6570d
  • Allow subject DN override by CSR - linnuke puudub (profiilid tule täita siis korralikult ja csr'ist väärtusi ei kasutata)
  • Basic Constraints -> Use ja Critical - linnukesed eemaldada
  • Key Usage -> Use linnuke, Critical linnuke, Key Usage linnukesed: Digital Signature ja Non-repudiation
  • Extended Key Usage -> Use: linnuke, Critical: linnuke -> Time Stamping
  • Subject Alternative Name - linnuke eemaldada
  • Issuer Alternative Name - linnuke eemaldada
  • LDAP DN order - linnuke eemaldada
  • Available CAs - MORAAL ROOT CA

MORAAL TIMESTAMPING AUTHORITY End Entity Profile

Valida

RA Functions -> End Entity Profiles

ning

  • Username - tühi (moraal-klass3-moraal-2010-end-entity)
  • Password - tühi
  • Minimum Password strength - 30
  • End Entity E-mail - linnuke eemaldada
  • CN, Common name - MORAAL TIMESTAMPING AUTHORITY (required ja modifiable)
  • O - Moraal OÜ (required ja not modifiable)
  • C - EE (required ja not modifiable)
  • OU - TSA
  • Default Certificate Profile - MORAAL TIMESTAMPING AUTHORITY End Entity Certificate Profile
  • Available Certificate Profiles - MORAAL TIMESTAMPING AUTHORITY End Entity Certificate Profile
  • Default CA - MORAAL ROOT CA
  • Available CAs - MORAAL ROOT CA
  • Default Token - User Generated

MORAAL TIMESTAMPING AUTHORITY End Entity

Valida

RA Functions -> Add End Entity
  • End Entity Profile - MORAAL TIMESTAMPING AUTHORITY End Entity Profile
  • Username - moraal-timestamping-authority-end-entity
  • Password - parool

MORAAL TIMESTAMPING AUTHORITY End Entity sertifikaadi väljastamine

Sertifikaadi väljastamiseks tuleb tekitada certificate request nö pem faili kujul ja täita CSR väärtused suvaliselt kuna väärtused tulevad profiilist

$ openssl req -nodes -sha256 -new -keyout tsa.key -newkey rsa:2048 > tsa.csr

Public Web liideses sertifikaadi päring postitada

Public Web -> Certificate enrollment from a CSR

Tulemusena pakutakse alla laadida sertifikaat, sellise sisuga

   Signature Algorithm: sha256WithRSAEncryption
       Issuer: C=EE, O=Moraal OÜ, CN=EE Moraal Root CA/emailAddress=pki@moraal.ee
       Validity
           Not Before: Aug  3 20:32:05 2016 GMT
           Not After : Jul 30 20:32:05 2034 GMT
       Subject: C=EE, O=Moraal OÜ, OU=TSA, CN=MORAAL TIMESTAMPING AUTHORITY
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
               Public-Key: (2048 bit)
               Modulus:
                   00:c7:2d:06:c3:a7:de:e0:f1:40:0f:ef:37:eb:91:
                   51:b2:10:97:74:e8:a8:c3:02:79:f7:76:fd:83:9d:
                   ..

       X509v3 extensions:
           X509v3 Authority Key Identifier: 
               keyid:FF:0C:FA:0B:9A:7F:CD:E3:4A:BC:2D:36:CC:2B:68:D9:DE:37:3C:37

           X509v3 Extended Key Usage: critical
               Time Stamping
           X509v3 Subject Key Identifier: 
               92:11:10:A3:1A:CD:F9:C6:8C:16:08:8C:06:68:26:F3:A1:C2:55:91
           X509v3 Key Usage: critical
               Digital Signature, Non Repudiation
   Signature Algorithm: sha256WithRSAEncryption
        92:03:ff:34:c3:07:d0:9e:1a:17:f8:95:77:e4:cc:dd:82:49:
        63:0d:9f:76:29:75:4e:36:b1:63:1c:0d:a4:10:9d:eb:c0:4a:
        a3:9c:ec:3e:a7:72:f6:9c:e0:6d:2e:6b:84:30:76:9c:a3:b6:
        ...

OCSP

$ openssl ocsp -CAfile ROOT-CA.pem -issuer KLASS3-2010.pem \
  -cert test6-moraal-ee.pem -url http://moraal-ca.tt.kit:8080/ejbca/publicweb/status/ocsp

CRL

$ wget "http://ejbca-moraal.tt.kit:8080/ejbca/publicweb/webdist/certdist?cmd=crl&issuer=CN=KLASS3-Moraal%202010,OU=Sertifitseerimisteenused,O=Moraal OÜ,C=EE" -O klass3-moraal.crl
$ openssl crl -inform DER -outform PEM -in klass3-moraal.crl -out klass3-moraal-crl.pem
$ $ openssl crl -in klass3-moraal.pem -noout -text
Certificate Revocation List (CRL):
       Version 2 (0x1)
   Signature Algorithm: sha384WithRSAEncryption
       Issuer: /C=EE/O=Moraal OÜ/OU=Sertifitseerimisteenused/CN=KLASS3-Moraal 2010
       Last Update: Jul 31 11:11:02 2016 GMT
       Next Update: Aug  1 11:11:02 2016 GMT
Revoked Certificates:
   Serial Number: 0DD299670B5B0812
       Revocation Date: Jul 31 09:54:25 2016 GMT
   Serial Number: 1E79E4B8BB1FB7B2
       Revocation Date: Jul 31 09:55:28 2016 GMT
   Serial Number: 24F12AEF19885FBE
       Revocation Date: Jul 31 09:55:32 2016 GMT
   Signature Algorithm: sha384WithRSAEncryption
        2b:7b:11:1c:9e:5b:b8:d2:d5:76:cd:a2:c2:05:7d:38:25:ae:
        55:01:1f:09:c8:9f:cf:3f:9f:a8:d9:02:13:b7:87:e3:ba:44:
        21:49:85:c9:84:66:d4:b7:d4:e2:9d:39:38:f4:b5:19:77:a0:
...

Märkused

  • Administraator kasutajate nimekiri
$ bin/ejbca.sh roles listadmins "Super Administrator Role"
"ManagementCA" WITH_COMMONNAME TYPE_EQUALCASE "SuperAdmin"
"ManagementCA" WITH_COMMONNAME TYPE_EQUALCASE "Priit Kask"
"ManagementCA" WITH_COMMONNAME TYPE_EQUALCASE "Mart Kask"
[Admin unbound to CA] USERNAME TYPE_EQUALCASE "ejbca"
  • Tundub, et Roll alt kasutaja eemaldamine alati Web GUI kaudu ei õnnestus, aga käsurealt võiks õnnestuda nt saranaselt
$ bin/ejbca.sh roles removeadmin --role "Super Administrator Role" --caname "ManagementCA" --with "WITH_COMMONNAME" \
  --type "TYPE_EQUALCASE" --value "Priit Kask"
..
Removed admin/subject: "ManagementCA" WITH_COMMONNAME TYPE_EQUALCASE "Priit Kask" from role Super Administrator Role

Kasulikud lisamaterjalid

  • TODO