Памятка на будущее

Итак, надо проверить работу с сертификатами после вчерашнего обновления .  Сначала возьмём встроенный CA – CN=SuperAdmin,O=EJBCA admin,C=RU . Ничего страшного, даже, если сломаю – у меня ведь есть реальный админ, а не этот, инсталляционный…

А вот при генерации сертификата для реального админа надо не забыть проверить и, возможно, поправить права доступа.

• Поиск по DN, Edit End Entity
• Меняю статус с generated на new . И устанавливаю пароль. Сохранить.
• Из командной строки:
  • bin/ejbca.sh ra setclearpwd superadmin password – пароль с прошлого шага
  • bin/ejbca.sh batch superadmin 
  • Любуюсь файлом p12/superadmin.p12  🙂
• Проверяю сертификаты. Их теперь два и оба действующие. Старый можно убить, но, ладно, пусть пока поживёт.
• Теперь проверить то, что посложнее. Сгенерирую новый сертификат  с той же шифровальной парой.
• Внимание! Этот персонаж должен иметь опцию Key recoverable активной. Соответственно, ключи шифрования для него уже созданы и хранятся внутри ejbca. Подробнее в руководстве админа.
  • bin/ejbca.sh ra keyrecovernewest user
  • bin/ejbca.sh ra setclearpwd user password
  • bin/ejbca.sh batch user
• Проверяю в web-админке, что ключи не изменились. Это видно в сетрификатах. Там отображается public key. Он одинаков? Если да – порядок.

Собственно, пока всё. В логах никаких серьёзных ошибок нет. Буду считать, что обновление прошло успешно.