Ejbca - Utilisation Avancée

1- Introduction

2- Les fichiers de propriétés d’EJBCA

• Fichier « ejbca.properties »
• Fichier « database.properties »
• Fichier « web.properties »
• Fichier « mail.properties »
• Fichier « cmp.properties »
• Fichier « ocsp.properties »
• Fichier « protection.properties »
• Fichier « xkms.properties »

3- Émission de cartes à puce

4- Autorité de certification dans un HSM

• Logiciels utilisées
• Génération de clés pour cartes à puce
• Identification d’une AC par carte à puce
• Installation d’une Primecard dans EJBCA
• Création d’une nouvelle AC
• Activation et désactivation d’une AC
• Création d’un profil de certificats et d’un profil d’entités
• Émission de certificats avec la nouvelle AC

5- Recouvrement de clés

• Introduction
• Configuration système
• Configuration de profils
• Ajout d’un utilisateur
• Retrait d’une carte à puce
• Simulation de la perte d’une carte à puce
• Recouvrement de la clé perdue
• Retrait de la carte à puce contenant la clé recouvrée
• Comparaison de la carte originale avec la carte contenant la clé recouvrée

6- Interface en ligne de commandes avancées

• Utilisation de l’interface en ligne de commandes
• Commande « batch »
• Commande « ca »
• Commande « ca info »
• Commande « ca init »
• Commande « ca listcas »
• Commande « ca getrootcert »
• Commande « ca createcrl »
• Commande « ca getcrl »
• Commande « ca listexpired »
• Commande « ca exportprofiles »
• Commande « ca importprofiles »
• Commande « ca importca »
• Commande « ca importcert »
• Commande « ca republish »
• Commande « ca activateca »
• Commande « ca deactivateca »
• Commande « ra »
• Commande « adduser »
• Commande « setpwd »
• Commande « setclearpwd »
• Commande « revokeuser »
• Commande « deluser »
• Commande « unrevokeuser »
• Commande « setuserstatus »
• Commande « listnewusers »
• Commande « listusers »
• Commande « finduser »
• Commande « keyrecover »
• Commande « keyrecovernewest »
• Commande « setsubjectdirattr »
• Commande « setup »
• Commande « template »
• Commande « ocsp »
• Commande « asn1dump »

8- Cycle de vie d’un certificat

• Ajout d’un utilisateur
• Émission d’un utilisateur
• Vérification du certificat d’un utilisateur
• Révocation d’un certificat
• Réémission d’un certificat
• Suppression d’un compte utilisateur

9- Droits d’accès

• Modification du paramétrage d’AC
• Ajout de droits d’accès au groupe d’administrateurs d’AE
• Ajout d’une entité finale
• Émission des approbations de l’entité finale
• Réémission du certificat d’entité finale

10- Publication

• Création d’un service de publication LDAP
• Configuration du serveur LDAP
• Configuration du service de publication LDAP d’EJBCA
• Vérification que la publication des AC et des LCR est correcte
• Vérification que la publication des certificats d’utilisateur fonctionne
• Création d’un script de publication

11- Microsoft Smart Card Login

• Création d’une AC pour les cartes « Microsoft Smart card logon »
• Installation du NetID

12- Meilleure sécurisation de votre serveur

• Sécuriser le répertoire $EJBCA_HOME
• Sécuriser le répertoire $JBOSS_HOME
• Supprimer la console JBoss
• Sécurisation de l’installation de MySQL
• Sécurisation de votre serveur avec IPtables
• Création d’un nouveau administrateur d’AC
• Création de l’AC
• Changement du profil de certificats des administrateurs d’AC
• Changement du profil d’entités des administrateurs d’AC
• Création d’un nouveau groupe d’administrateurs
• Création d’un nouveau « cacerts » truststore *- Création d’un nouveau keystore Tomcat
• Génération de mots de passe aléatoires

13- Haute performance de votre AC

• SQL
• VRRP pour EJBCA
• Vérification de l’état d’EJBCA

14- Supervision de votre serveur

• Vérification de l’état d’EJBCA
• Scripts disponibles
• Vérification de la dernière version de syscheck
• Installation de syscheck
• Exécution automatique de syscheck
• Acheminement de messages via syslog
• Comment écrire un nouveau script ?

15- Restauration d’une base de données MySQL

16- Besoin d’informations pour votre documentation système

• Politiques de certification (PC) et déclaration des pratiques de certification (DPC)
• Documentation des profils
• Documentation des serveurs
• Documentation de l’architecture physique
• Documentation des routines

17- Signature des journaux

• Configuration
• Activation du service de signature CMS
• Téléchargement des journaux signés
• Vérification des journaux

18- Interfaces externes

• Interface CMS
• Interface CMP
• Interface SCEP
• AE externe
• Interface XKMS
• Services Web

19- Contrôle du statut des certificats

• Serveur OCSP interne
• Serveur OCSP externe
• Avec les LCR
• Ajout d’un utilisateur
• Téléchargement des AC et des LCR
• Première vérification
• Révocation du certificat de l’utilisateur
• Génération de la LCR
• Seconde vérification

20- Les services

• Les AC appelées « CRL Issuer »
• Les vérificateurs d’expiration de certificats
• Service personalisé

21- En cas de problème

• Les journaux JBoss
• Les builds Ant
• Le système

22- Profils de certificats et d’entités

• Création d’une AC « S/MIME »
• Création d’un profil de certificats pour S/MIME
• Création d’un profil d’entités pour S/MIME
• Création de l’AC de signature
• Création d’un profil de certificats « signature »
• Création d’un profil d’entités « signature »
• Création d’une AC « VPN »
• Création d’un profil de certificats « VPN »
• Création d’un profil d’entités « VPN »

23- Serveur NTP

24- Environnement de gestion des tokens matériels.

• Utilisation des données externes
• Gestion des codes PIN et PKU

25- Certification « Expert EJBCA certifié »

25- Questions - Réponses