In diesem Abschnitt wird beschrieben, wie Sie OpenXPKI CA Version 2.5.x mit dem Simple Certificate Enrollment Protocol (SCEP) konfigurieren.
Hinweise:
Verbinden Sie den Computer mit PuTTY oder einem anderen Client.
Führen Sie auf dem Client den Befehl aus, um zum Root-Benutzer zu gelangen.
Geben Sie das Root-Kennwort ein.
Ändern Sie in nano /etc/apt/sources.list die Quelle zum Installieren der Updates.
Aktualisieren Sie die Datei. Beispiel:
# # deb cdrom:[Debian GNU/Linux 8.11.1 _Jessie_ - Official amd64 CD Binary-1 20190211-02:10]/ jessie local main # deb cdrom:[Debian GNU/Linux 8.11.1 _Jessie_ - Official amd64 CD Binary-1 20190211-02:10]/ jessie local main deb http://security.debian.org/ jessie/updates main deb-src http://security.debian.org/ jessie/updates main # jessie-updates, previously known as 'volatile' # A network mirror was not selected during install. The following entries # are provided as examples, but you should amend them as appropriate # for your mirror of choice. # deb http://ftp.debian.org/debian/jessie-updates main deb-src http://ftp.debian.org/debian/jessie-updates main deb http://ftp.us.debian.org/debian/jessie main
Speichern Sie die Datei.
Führen Sie die folgenden Befehle aus:
Aktualisieren Sie die CA-Zertifikatlisten auf dem Server mit .
Installieren Sie en_US.utf8 locale mit .
Wählen Sie das Gebietsschema en_US.UTF-8 UTF-8 aus, und machen Sie es anschließend zum standardmäßigen Gebietsschema für das System.
Prüfen Sie die Gebietsschemas, die Sie mit generiert haben.
C C.UTF-8 en_IN en_IN.utf8 en_US.utf8 POSIX
Kopieren Sie den Fingerabdruck des OpenXPKI-Pakets mit . Kopieren Sie den Schlüssel beispielsweise in /home .
Geben Sie als Wert ein.
Führen Sie den folgenden Befehl aus:
Fügen Sie das Paket mit dem Befehl hinzu.
Fügen Sie das Repository mit und anschließend zu Ihrer Quellenliste (jessie) hinzu.
Installieren Sie MySQL und Perl MySQL-Binding mit .
Installieren Sie apache2.2-common mit .
Installieren Sie in nano /etc/apt/sources.list das fastcgi-Modul, um die Benutzeroberfläche zu beschleunigen.
Fügen Sie die Zeile in der Datei hinzu, und speichern Sie sie.
Führen Sie die folgenden Befehle aus:
Aktivieren Sie das fastcgi-Modul mit .
Installieren Sie das OpenXPKI-Kernpaket mit .
Starten Sie den Apache Server mit neu.
Prüfen Sie mit , ob die Installation erfolgreich war.
Erstellen Sie die leere Datenbank, und weisen Sie anschließend den Datenbankbenutzer mit zu.
Hinweise:
CREATE DATABASE openxpki CHARSET utf8; CREATE USER 'openxpki'@'localhost' IDENTIFIED BY 'openxpki'; GRANT ALL ON openxpki.* TO 'openxpki'@'localhost'; flush privileges;
Wenn der MySQL-Service nicht läuft, führen Sie aus, um den Service zu starten.
Geben Sie ein, um MySQL zu beenden.
Speichern Sie die verwendeten Zugangsdaten in /etc/openxpki/config.d/system/database.yaml .
debug: 0 type: MySQL name: openxpki host: localhost port: 3306 user: openxpki passwd: openxpki
Speichern Sie die Datei.
Führen Sie für ein leeres Datenbankschema aus der bereitgestellten Schemadatei aus.
Geben Sie das Kennwort für die Datenbank ein.
Entpacken Sie das Beispielskript für die Installation des Zertifikats mit .
Führen Sie das Skript mit aus.
Bestätigen Sie das Setup mit .
=== functional token === scep (scep): Alias : scep-1 Identifier: YsBNZ7JYTbx89F_-Z4jn_RPFFWo NotBefore : 2015-01-30 20:44:40 NotAfter : 2016-01-30 20:44:40 vault (datasafe): Alias : vault-1 Identifier: lZILS1l6Km5aIGS6pA7P7azAJic NotBefore : 2015-01-30 20:44:40 NotAfter : 2016-01-30 20:44:40 ca-signer (certsign): Alias : ca-signer-1 Identifier: Sw_IY7AdoGUp28F_cFEdhbtI9pE NotBefore : 2015-01-30 20:44:40 NotAfter : 2018-01-29 20:44:40 === root ca === current root ca: Alias : root-1 Identifier: fVrqJAlpotPaisOAsnxa9cglXCc NotBefore : 2015-01-30 20:44:39 NotAfter : 2020-01-30 20:44:39 upcoming root ca: not set
Prüfen Sie mit , ob die Installation erfolgreich war.
Starting OpenXPKI... OpenXPKI Server is running and accepting requests. DONE.
Gehen Sie folgendermaßen vor, um auf den OpenXPKI-Server zuzugreifen:
Geben Sie in einem Webbrowser ein.
Melden Sie sich als Bediener an. Das Standardkennwort lautet .
Erstellen Sie eine Zertifikatsanforderung, und testen Sie sie.
Erstellen Sie zum manuellen Konfigurieren der OpenXPKI CA Folgendes:
Root-CA-Zertifikat Weitere Informationen finden Sie unter Erstellen eines Root-CA-Zertifikats .
CA-Signaturgeberzertifikat, signiert von der Root-CA. Weitere Informationen finden Sie unter Erstellen eines Signaturgeberzertifikats .
Datentresorzertifikat, selbstsigniert. Weitere Informationen finden Sie unter Erstellen eines Tresorzertifikats .
SCEP-Zertifikat, vom Signaturgeberzertifikat signiert.
Hinweise:
In diesem Fall verwenden wir das Verzeichnis /etc/certs/openxpki_ca-one/ zur Zertifikatgenerierung. Sie können jedoch jedes beliebige Verzeichnis verwenden.
Führen Sie den folgenden Befehl aus:
# x509_extensions = v3_ca_extensions # x509_extensions = v3_issuing_extensions # x509_extensions = v3_datavault_extensions # x509_extensions = v3_scep_extensions # x509_extensions = v3_web_extensions # x509_extensions = v3_ca_reqexts # not for root self-signed, only for issuing ## x509_extensions = v3_datavault_reqexts # not required self-signed # x509_extensions = v3_scep_reqexts # x509_extensions = v3_web_reqexts [ req ] default_bits = 4096 distinguished_name = req_distinguished_name [ req_distinguished_name ] domainComponent = Domain Component commonName = Common Name [ v3_ca_reqexts ] subjectKeyIdentifier = hash keyUsage = digitalSignature, keyCertSign, cRLSign [ v3_datavault_reqexts ] subjectKeyIdentifier = hash keyUsage = keyEncipherment extendedKeyUsage = emailProtection [ v3_scep_reqexts ] subjectKeyIdentifier = hash [ v3_web_reqexts ] subjectKeyIdentifier = hash keyUsage = critical, digitalSignature, keyEncipherment extendedKeyUsage = serverAuth, clientAuth [ v3_ca_extensions ] subjectKeyIdentifier = hash keyUsage = digitalSignature, keyCertSign, cRLSign basicConstraints = critical,CA:TRUE authorityKeyIdentifier = keyid:always,issuer [ v3_issuing_extensions ] subjectKeyIdentifier = hash keyUsage = digitalSignature, keyCertSign, cRLSign basicConstraints = critical,CA:TRUE authorityKeyIdentifier = keyid:always,issuer:always crlDistributionPoints = URI:http://FQDN of the server/CertEnroll/MYOPENXPKI.crl authorityInfoAccess = caIssuers;URI:http://FQDN of the server/CertEnroll/MYOPENXPKI.crt [ v3_datavault_extensions ] subjectKeyIdentifier = hash keyUsage = keyEncipherment extendedKeyUsage = emailProtection basicConstraints = CA:FALSE authorityKeyIdentifier = keyid:always,issuer [ v3_scep_extensions ] subjectKeyIdentifier = hash basicConstraints = CA:FALSE authorityKeyIdentifier = keyid,issuer [ v3_web_extensions ] subjectKeyIdentifier = hash keyUsage = critical, digitalSignature, keyEncipherment extendedKeyUsage = serverAuth, clientAuth basicConstraints = critical,CA:FALSE subjectAltName = DNS:stlopenxpki.lexmark.com crlDistributionPoints = URI:http://FQDN of the server/CertEnroll/MYOPENXPKI_ISSUINGCA.crl authorityInfoAccess = caIssuers;URI:http://FQDN of the server/CertEnroll/MYOPENXPKI_ISSUINGCA.crt
Ändern Sie die IP-Adresse und den CA-Zertifikatnamen mit den Setup-Informationen.
Speichern Sie die Datei.
Führen Sie den folgenden Befehl aus:
Geben Sie Ihr Kennwort ein.
Speichern Sie die Datei.
Führen Sie die folgenden Befehle aus:
Führen Sie den folgenden Befehl aus:
Ändern Sie den Betreff in der Anforderung mit Ihren CA-Informationen mit .
Rufen Sie das von der Root-CA signierte Zertifikat mit ab.
Hinweise:
Führen Sie den folgenden Befehl aus:
Ändern Sie den Betreff in Ihren CA-Informationen mit .
Führen Sie den folgenden Befehl aus:
Führen Sie die folgenden Befehle aus:
Kopieren Sie die Schlüsseldateien nach /etc/openxpki/ca/ca-one/ .
cp /etc/certs/openxpki_ca-one/ca-signer-1.key /etc/openxpki/ca/ca-one/ cp /etc/certs/openxpki_ca-one/vault-1.key /etc/openxpki/ca/ca-one/ cp /etc/certs/openxpki_ca-one/scep-1.key /etc/openxpki/ca/ca-one/
Erstellen Sie den Symlink.
ln -s /etc/openxpki/ca/ca-one/ca-signer-1.key /etc/openxpki/ca/ca-one/ca-signer-1.pem ln -s /etc/openxpki/ca/ca-one/scep-1.key /etc/openxpki/ca/ca-one/scep-1.pem ln -s /etc/openxpki/ca/ca-one/vault-1.key /etc/openxpki/ca/ca-one/vault-1.pem
Importieren Sie das Root-Zertifikat, das Signaturgeberzertifikat, das Tresorzertifikat und das SCEP-Zertifikat mit den entsprechenden Token in die Datenbank.
Führen Sie die folgenden Befehle aus:
Prüfen Sie mit , ob der Import erfolgreich war.
=== functional token === scep (scep): Alias : scep-1 Identifier: YsBNZ7JYTbx89F_-Z4jn_RPFFWo NotBefore : 2015-01-30 20:44:40 NotAfter : 2016-01-30 20:44:40 vault (datasafe): Alias : vault-1 Identifier: lZILS1l6Km5aIGS6pA7P7azAJic NotBefore : 2015-01-30 20:44:40 NotAfter : 2016-01-30 20:44:40 ca-signer (certsign): Alias : ca-signer-1 Identifier: Sw_IY7AdoGUp28F_cFEdhbtI9pE NotBefore : 2015-01-30 20:44:40 NotAfter : 2018-01-29 20:44:40 === root ca === current root ca: Alias : root-1 Identifier: fVrqJAlpotPaisOAsnxa9cglXCc NotBefore : 2015-01-30 20:44:39 NotAfter : 2020-01-30 20:44:39 upcoming root ca: not set
Führen Sie den Befehl aus.
Starting OpenXPKI... OpenXPKI Server is running and accepting requests. DONE.
Gehen Sie folgendermaßen vor, um auf den OpenXPKI-Server zuzugreifen:
Geben Sie in einem Webbrowser ein.
Melden Sie sich als Bediener an. Das Standardkennwort lautet .
Erstellen Sie eine Zertifikatsanforderung, und testen Sie sie.
Stoppen Sie den OpenXPKI-Service mit .
Aktualisieren Sie in nano /etc/openxpki/config.d/realm/ca-one/publishing.yaml den Abschnitt wie folgt:
class: Connector::Builtin::File::Path LOCATION: /var/www/openxpki/CertEnroll/ file: "[% ARGS.0 %].crl" content: "[% pem %]"
Aktualisieren Sie in nano /etc/openxpki/config.d/realm/ca-one/profile/default.yaml Folgendes:
section
critical: 0
uri:
- http://FQDN of the server/CertEnroll/[% ISSUER.CN.0 %].crl
- ldap://localhost/[% ISSUER.DN %]
section
critical: 0 ca_issuers: http://FQDN of the server/CertEnroll/MYOPENXPKI.crt ocsp: http://ocsp.openxpki.org/
Ändern Sie die IP-Adresse und den CA-Zertifikatnamen entsprechend Ihrem CA-Server.
Gehen Sie in nano /etc/openxpki/config.d/realm/ca-one/crl/default.yaml wie folgt vor:
Aktualisieren Sie ggf. und .
Fügen Sie zum folgenden Abschnitt hinzu:
extensions:
authority_info_access:
critical: 0
# ca_issuers and ocsp can be scalar or list
ca_issuers: http://FQDN of the server/CertEnroll/MYOPENXPKI.crt
#ocsp: http://ocsp.openxpki.org/
Ändern Sie die IP-Adresse und den CA-Zertifikatnamen entsprechend Ihrem CA-Server.
Starten Sie den OpenXPKI-Service mit .
Beenden Sie den Apache-Dienst mit .
Erstellen Sie ein Verzeichnis CertEnroll für crl im Verzeichnis /var/www/openxpki/ .
Legen Sie openxpki als Eigentümer dieses Verzeichnisses fest, und konfigurieren Sie anschließend die Berechtigungen für das Lesen und Ausführen von Apache sowie für andere Dienste als schreibgeschützt.
chown openxpki /var/www/openxpki/CertEnroll
chmod 755 /var/www/openxpki/CertEnroll
Fügen Sie eine Referenz zur Apache-Datei alias.conf mit hinzu.
Fügen Sie nach dem Abschnitt Folgendes hinzu:
Alias /CertEnroll/ "/var/www/openxpki/CertEnroll/"
<Directory "/var/www/openxpki/CertEnroll">
Options FollowSymlinks
AllowOverride None
Require all granted
</Directory>
Fügen Sie eine Referenz in der Datei apache2.conf mit nano /etc/apache2/apache2.conf hinzu.
Fügen Sie im Abschnitt Folgendes hinzu:
<Directory /var/www/openxpki/CertEnroll>
Options FollowSymlinks
AllowOverride None
Allow from all
</Directory>
Starten Sie den Apache-Dienst mit .
Stoppen Sie den OpenXPKI-Service mit .
Installieren Sie das openca-tools-Paket mit .
Starten Sie den OpenXPKI-Service mit .
Testen Sie den Service mit einem beliebigen Client, z. B. CertNanny mit SSCEP.
Für automatische Zertifikatsanforderungen verwenden wir die "Unterzeichner im Auftrag"-Zertifikatfunktion von OpenXPKI.
Stoppen Sie den OpenXPKI-Dienst mit .
Fügen Sie in nano /etc/openxpki/config.d/realm/ca-one/SCEP/generic.yaml im Abschnitt eine Regel für den Betreff-Name des Signaturgeberzertifikats hin.
rule1:
# Full DN
subject: CN=Markvision_.*
Hinweise:
Speichern Sie die Datei.
Starten Sie den OpenXPKI-Service mit .
Stoppen Sie den OpenXPKI-Service mit .
Aktualisieren Sie in nano /etc/openxpki/config.d/realm/ca-one/scep/generic.yaml Folgendes: section:
eligible:
initial:
value@: connector:scep.generic.connector.initial
args: '[% context.cert_subject_parts.CN.0 %]'
expect:
- Build
- New
eligible: initial: value: 1 # value@: connector:scep.generic.connector.initial # args: '[% context.cert_subject_parts.CN.0 %]' # expect: # - Build # - New
Hinweise:
Speichern Sie die Datei.
Starten Sie den OpenXPKI-Service mit .
In OpenXPKI können Sie mehrere PKI-Strukturen im selben System konfigurieren. In den folgenden Themen wird gezeigt, wie ein weiterer Bereich für MVE mit dem Namen ca-two erstellt wird.
Kopieren Sie die Beispielverzeichnisstruktur /etc/openxpki/config.d/realm/ca-one in ein neues Verzeichnis ( cp -avr /etc/openxpki/config.d/realm/ca-one /etc/openxpki/config.d/realm/ca-two ) in dem Bereichsverzeichnis.
Aktualisieren Sie in /etc/openxpki/config.d/system/realms.yaml den folgenden Bereich:
# This is the list of realms in this PKI
# You only need to enable the realms which are visible on the server
ca-one:
label: Verbose name of this realm
baseurl: https://pki.example.com/openxpki/
#ca-two:
# label: Verbose name of this realm
# baseurl: https://pki.acme.org/openxpki/
# This is the list of realms in this PKI
# You only need to enable the realms which are visible on the server
ca-one:
label: CA-ONE
baseurl: https://pki.example.com/openxpki/
ca-two:
label: CA-TWO
baseurl: https://pki.example.com/openxpki/
Speichern Sie die Datei.
Die folgenden Anweisungen zeigen, wie das Signaturgeberzertifikat, das Tresorzertifikat und das SCEP-Zertifikat generiert werden. Die Root-CA signiert das Signaturgeberzertifikat, und das Signaturgeberzertifikat signiert das SCEP-Zertifikat. Das Tresorzertifikat ist selbstsigniert.
Generieren Sie Zertifikate, und signieren Sie sie anschließend. Weitere Informationen finden Sie unter Manuelles Konfigurieren von OpenXPKI CA .
Kopieren Sie die Schlüsseldateien nach /etc/openxpki/ca/ca-two/ .
cp /etc/certs/openxpki_ca-two/ca-signer-1.key /etc/openxpki/ca/ca-two/ cp /etc/certs/openxpki_ca-two/vault-1.key /etc/openxpki/ca/ca-two/ cp /etc/certs/openxpki_ca-two/scep-1.key /etc/openxpki/ca/ca-two/
Erstellen Sie den Symlink. Erstellen Sie außerdem einen Symlink für das Root-CA-Zertifikat.
ln -s /etc/openxpki/ca/ca-one/ca-root-1.crt /etc/openxpki/ca/ca-two/ca-root-1.crt ln -s /etc/openxpki/ca/ca-two/ca-signer-1.key /etc/openxpki/ca/ca-two/ca-signer-1.pem ln -s /etc/openxpki/ca/ca-two/scep-1.key /etc/openxpki/ca/ca-two/scep-1.pem ln -s /etc/openxpki/ca/ca-two/vault-1.key /etc/openxpki/ca/ca-two/vault-1.pem
Importieren Sie das Signaturgeberzertifikat, das Tresorzertifikat und das SCEP-Zertifikat in die Datenbank mit den entsprechenden Token für .
openxpkiadm certificate import --file /etc/certs/openxpki_ca-two/ca-signer-1.crt --realm ca-two –issuer /etc/openxpki/ca/ca-two/ca-one-1.crt --token certsign openxpkiadm certificate import --file /etc/certs/openxpki_ca-two/scep-1.crt --realm ca-two --token scep openxpkiadm certificate import --file /etc/certs/openxpki_ca-two/vault-1.crt --realm ca-two --token datasafe
Prüfen Sie mit , ob der Import erfolgreich war.
=== functional token === scep (scep): Alias : scep-1 Identifier: YsBNZ7JYTbx89F_-Z4jn_RPFFWo NotBefore : 2015-01-30 20:44:40 NotAfter : 2016-01-30 20:44:40 vault (datasafe): Alias : vault-1 Identifier: lZILS1l6Km5aIGS6pA7P7azAJic NotBefore : 2015-01-30 20:44:40 NotAfter : 2016-01-30 20:44:40 ca-signer (certsign): Alias : ca-signer-1 Identifier: Sw_IY7AdoGUp28F_cFEdhbtI9pE NotBefore : 2015-01-30 20:44:40 NotAfter : 2018-01-29 20:44:40 === root ca === current root ca: Alias : root-1 Identifier: fVrqJAlpotPaisOAsnxa9cglXCc NotBefore : 2015-01-30 20:44:39 NotAfter : 2020-01-30 20:44:39 upcoming root ca: not set
In diesem Fall sind die Root-CA-Informationen für und identisch.
Wenn Sie das Kennwort des Zertifikatschlüssels während der Zertifikatserstellung geändert haben, aktualisieren Sie nano /etc/openxpki/config.d/realm/ca-two/crypto.yaml .
Generieren Sie die CRLs für diesen Bereich. Weitere Informationen finden Sie unter Generieren von CRL-Informationen .
Veröffentlichen Sie die CRLs für diesen Bereich. Weitere Informationen finden Sie unter Konfigurieren der CRL-Zugänglichkeit .
Starten Sie den OpenXPKI-Dienst mit neu.
Stopping OpenXPKI Stopping gracefully, 3 (sub)processes remaining... DONE. Starting OpenXPKI... OpenXPKI Server is running and accepting requests. DONE.
Gehen Sie folgendermaßen vor, um auf den OpenXPKI-Server zuzugreifen:
Geben Sie in einem Webbrowser ein.
Melden Sie sich als Bediener an. Das Standardkennwort lautet .
Der SCEP-Endpunkt der Standardbereichs ist http://<ipaddress>/scep/scep . Wenn Sie mehrere Bereiche haben, konfigurieren Sie einen eindeutigen SCEP-Endpunkt (andere Konfigurationsdatei) für jeden Bereich. In den folgenden Anweisungen verwenden wir zwei PKI-Bereiche: und .
Kopieren Sie die Standardkonfigurationsdatei in cp /etc/openxpki/scep/default.conf /etc/openxpki/scep/ca-one.conf .
Ändern Sie in nano /etc/openxpki/scep/ca-one.conf den Bereichswert in .
Erstellen Sie eine weitere Konfigurationsdatei in cp /etc/openxpki/scep/default.conf /etc/openxpki/scep/ca-two.conf .
Ändern Sie in nano /etc/openxpki/scep/ca-two.conf den Bereichswert in .
Starten Sie den OpenXPKI-Dienst mit neu.
Die SCEP-Endpunkte sind die folgenden:
– http://ipaddress/scep/ca-one
– http://ipaddress/scep/ca-two
Wenn Sie zwischen Anmeldeinformationen und Standardzertifikatvorlagen für verschiedene PKI-Bereiche unterscheiden möchten, benötigen Sie möglicherweise eine erweiterte Konfiguration.
Standardmäßig kann in OpenXPKI nur ein Zertifikat mit demselben Betreff-Namen gleichzeitig aktiv sein. Wenn Sie jedoch mehrere benannte Zertifikate durchsetzen, müssen mehrere aktive Zertifikate mit demselben Betreff-Namen gleichzeitig vorhanden sein.
Ändern Sie in /etc/openxpki/config.d/realm/REALM NAME/scep/generic.yaml im Abschnitt den Wert für von in .
Hinweise:
Starten Sie den OpenXPKI-Dienst mit neu.
Standardmäßig hört Apache auf Anschlussnummer 80. Legen Sie die Standard-Anschlussnummer für OpenXPKI CA fest, um Konflikte zu vermeiden.
Fügen Sie in /etc/apache2/ports.conf einen Anschluss hinzu, oder ändern Sie ihn. Zum Beispiel .
Fügen Sie in /etc/apache2/sites-enabled/000-default.conf den Abschnitt hinzu, oder ändern Sie ihn, um einen neuen Anschluss zuzuordnen. Zum Beispiel: .
Starten Sie den Apache-Server mit neu.
Um den Status zu prüfen, führen Sie aus. Die OpenXPKI SCEP-URL lautet jetzt http://ipaddress:8080/scep/ca-one , und die Web-URL lautet http://ip address:8080/openxpki .
Standardmäßig akzeptiert OpenXPKI Anforderungen, ohne das Kennwort abzufragen. Die Zertifikatsanforderung wird nicht abgelehnt, und die CA und der CA-Administrator bestimmen, ob die Anforderung genehmigt oder abgelehnt werden soll. Um potenzielle Sicherheitsprobleme zu vermeiden, deaktivieren Sie diese Funktion, damit Zertifikatsanforderungen, die ungültige Kennwörter enthalten, sofort abgelehnt werden. In MVE ist Kennwort abfragen nur erforderlich, wenn das Registrierungsagent-Zertifikat generiert wird.
Ändern Sie in etc/openxpki/config.d/realm/REALM NAME/scep/generic.yaml im Abschnitt den Wert für von in .
Hinweise:
Starten Sie den OpenXPKI-Dienst mit neu.
Ändern Sie in /etc/openxpki/config.d/realm/REALM NAME/profile/I18N_OPENXPKI_PROFILE_TLS_SERVER.yaml im Bereich den Wert für in .
Hinweise:
Starten Sie den OpenXPKI-Dienst mit neu.
Standardmäßig liest OpenXPKI nur den CN des Betreffs des anfragenden Zertifikats. Die restlichen Informationen, wie Land, Ort und DC, sind hartcodiert. Wenn ein Zertifikat beispielsweise , , , , , ist, dann wird der Betreff nach dem Signieren des Zertifikats durch SCEP in , , geändert.
Ändern Sie in /etc/openxpki/config.d/realm/REALM NAME/profile/I18N_OPENXPKI_PROFILE_TLS_SERVER.yaml im Bereich den Wert für wie folgt:
CN=[% CN.0 %][% IF OU %][% FOREACH entry = OU %],OU=[% entry %][% END %][% END %][% IF O %][% FOREACH entry = O %],O=[% entry %][% END %][% END %][% IF L %],L=[% L.0 %][% END %][% IF ST %],ST=[% ST.0 %][% END %][% IF C %],C=[% C.0 %][% END %][% IF DC %][% FOREACH entry = DC %],DC=[% entry %][% END %][% END %][% IF EMAIL %][% FOREACH entry = EMAIL %],EMAIL=[% entry %][% END %][% END %]
Speichern Sie die Datei.
Erstellen Sie eine Datei mit dem Namen l.yaml im Verzeichnis /etc/openxpki/config.d/realm/REALM NAME/profile/template .
Fügen Sie Folgendes hinzu:
id: L label: L description: I18N_OPENXPKI_UI_PROFILE_L_DESC preset: L type: freetext width: 60 placeholder: Kolkata
Speichern Sie die Datei.
Erstellen Sie eine Datei mit dem Namen st.yaml im Verzeichnis /etc/openxpki/config.d/realm/REALM NAME/profile/template .
Fügen Sie Folgendes hinzu:
id: ST label: ST description: I18N_OPENXPKI_UI_PROFILE_ST_DESC preset: ST type: freetext width: 60 placeholder: WB
Speichern Sie die Datei.
Starten Sie den OpenXPKI-Dienst mit neu.
Greifen Sie auf den OpenXPKI-Server zu.
Geben Sie in einem Webbrowser ein.
Melden Sie sich als Bediener an. Das Standardkennwort lautet .
Klicken Sie auf Workflow-Suche > Jetzt suchen .
Klicken Sie auf ein Zertifikat, das Sie widerrufen möchten, und klicken Sie anschließend auf den Zertifikatlink.
Klicken Sie im Bereich Aktion auf Widerrufsanforderung .
Geben Sie die entsprechenden Werte ein, und klicken Sie anschließend auf Fortfahren > Anfrage abschicken .
Genehmigen Sie die Anfrage auf der nächsten Seite. Der Zertifikatswiderruf wartet auf die nächste CRL-Veröffentlichung.
Klicken Sie im Abschnitt PKI-Operation auf Zertifikatwiderrufsliste (CRL) ausstellen .
Klicken Sie auf Erstellung der Widerruflisten Zertifikatsvorlage > Fortfahren .
Klicken Sie im Abschnitt PKI-Operation auf CA/CRL veröffentlichen .
Klicken Sie auf Workflow-Suche > Jetzt suchen .
Klicken Sie auf das widerrufene Zertifikat mit dem Typ certificate_revocation_request_v2 .
Klicken Sie auf Aktivierung erzwingen .
In der neuen CRL finden Sie die Seriennummer und den Widerrufsgrund des widerrufenen Zertifikats.