Мар 162014
Итак, надо проверить работу с сертификатами после вчерашнего обновления . Сначала возьмём встроенный CA – CN=SuperAdmin,O=EJBCA admin,C=RU . Ничего страшного, даже, если сломаю – у меня ведь есть реальный админ, а не этот, инсталляционный…
А вот при генерации сертификата для реального админа надо не забыть проверить и, возможно, поправить права доступа.
- Поиск по DN, Edit End Entity
- Меняю статус с generated на new . И устанавливаю пароль. Сохранить.
- Из командной строки:
- bin/ejbca.sh ra setclearpwd superadmin password – пароль с прошлого шага
- bin/ejbca.sh batch superadmin
- Любуюсь файлом p12/superadmin.p12 🙂
- Проверяю сертификаты. Их теперь два и оба действующие. Старый можно убить, но, ладно, пусть пока поживёт.
- Теперь проверить то, что посложнее. Сгенерирую новый сертификат с той же шифровальной парой.
- Внимание! Этот персонаж должен иметь опцию Key recoverable активной. Соответственно, ключи шифрования для него уже созданы и хранятся внутри ejbca. Подробнее в руководстве админа.
- bin/ejbca.sh ra keyrecovernewest user
- bin/ejbca.sh ra setclearpwd user password
- bin/ejbca.sh batch user
- Проверяю в web-админке, что ключи не изменились. Это видно в сетрификатах. Там отображается public key. Он одинаков? Если да – порядок.
Собственно, пока всё. В логах никаких серьёзных ошибок нет. Буду считать, что обновление прошло успешно.