7.9 PKIX支持

• 7.9.5 CAServer

  参考caserver.xml，进行说明。

  
  

  • OcspServer元素

    7个属性：

    port：指定OCSPServer的HTTP服务运行端口80，该服务绑定在所有网络接口上。

    nextUpdateDelay：下一次更新延迟的天数，该属性既用来设置Ocsp响应中的nextUpdate信息，也决定了CRL列表生成周期。

    certificateAlgorithm：CAServer自动签署Ocsp签名证书时使用的公钥算法。

    certificateLifetime：CAServer自动签署的Ocsp签名证书的以天为单位的寿命。

    signatureBits：Ocsp响应签名位数，合法值为256，384，512。

    responseCacheCapacity：每一个Ocsp响应都需要使用Ocsp证书签名, 为了提高性能，必须提供cache，cache设计为32个分区的LruCache，该参数配置了响应cache总容量。

    ocspStore：配置ocsp存储目录路径。

    ocspStore管理方式：

    • 1. ocspStore目录下，按CA的serialNumber区分CA子目录，每个子目录内的证书命名方式为："certSerialNumber"."certNotAfter"."revocationTime".cer，其中，certSerialNumber为被回收证书序列号，certNotAfter为被回收证书过期时间，revocationTime为回收时间。

    • 2. 过期的被回收证书自动从相应的CA子目录内删除，CA过期，整个子目录都被自动删除。

    • 3. ocspStore目录本身被监控，如果目录中发现了新文件，则该文件被当作需要回收的证书文件进行识别，识别成功执行回收，然后删除，否则直接删除。需要注意，期望被回收的证书文件首先应该在同一文件系统内其它位置创建出来，然后MOVE到ocspStore，而不要COPY，COPY存在一个写入过程，文件创建出来的时候立刻被监视到，识别操作执行时写入过程可能没有完成，导致识别失败，直接删除，回收操作被忽略。

    • 4. ocspStore目录下的CA子目录被监控，如果某个回收的证书文件被删除，则自动执行Recall操作。

    • 5. 监控目录的管理方式主要提供给独立OcspServer使用，在CAServer内，还是应该通过管理页面执行Revoke，Recall操作。

    CAServer启动时，自动为该服务器签署Ocsp签名证书，证书即将到期时，自动更新。

  
  

  • CertUpdateServer元素

    4个属性：

    port：指定CertUpdateServer的HTTPS服务运行端口443，该服务绑定在所有网络接口上。

    renewLifespanPercent：证书寿命过去了该百分比才执行Renew操作，避免客户端频繁renew增加服务器负荷。

    certificateAlgorithm：CAServer自动签署HTTPS服务器证书时使用的公钥算法。

    certificateLifetime：CAServer自动签署的HTTPS服务器证书的以天为单位的寿命。

    
    

    CAServer启动时，自动为该服务器签署HTTPS服务器证书，证书即将到期时，自动更新、重启服务。该服务器仅接受来自同一CAServer签署的证书的Renew请求。被Revoke的证书，通不过验证，无法Renew。

  
  

  • Trace元素

    与其它Limax服务配置方式相同，见手册正文，运行管理配置一节。

---

• 7.9.6 OcspServer

  独立运行的OcspServer。

  ROOTCA离线运行，所以必须启用独立的OcspServer发布由该ROOTCA签发的CA状态。

  
  

  • OcspServer顶层元素

    9个属性：

    domain：指定该OcspServer运行的服务器域名。

    location：Ocsp签名证书的location

    passphrase：location的私钥启用密码，实际运营时，不应该填写该属性，而应该在服务器启动时输入。

    cRLFile：ROOTCA签发的CRL文件的路径。

    port，nextUpdateDelay，signatureBits，responseCacheCapacity，ocspStore：这5个属性的描述见CAServer一节中OcspServer元素的说明。

  
  

  • Trace元素

    与其它Limax服务配置方式相同，见手册正文，运行管理配置一节。

---

• 7.9.7 与测试配置相对应的命令举例

  所有密码提示下都输入123456。

  
  

  • 创建并运行ROOTCA

    • 1. 签署ROOTCA

      
      

      java -jar limax.jar pkix initroot "file:ca@/work/pkix/root#rsa/2048/256" "dc=limax-project,dc=org" "20100101" "20500101"
      

    • 2. 签署ROOTCA的Ocsp签名证书

      
      

      java -jar limax.jar pkix initocsp "file:ca@/work/pkix/root" "pkcs12:/work/pkix/root/ocsp.p12#rsa/2048" "cn=OCSP Responder,dc=limax-project,dc=org" "20170101" "20200101"
      

    • 3. 初始化ROOTCA的CRL

      
      

      java -jar limax.jar pkix gencrl "file:ca@/work/pkix/root" /work/pkix/root/ca.crl 20171001
      

    • 4. 配置域名服务器，将root.limax-project.org解析到运行独立OcspServer的机器的IP上，然后运行OcspServer。

      
      

      java -jar limax.jar pkix ocsp ocspserver.xml
      

  
  

  • 签署并运行CAServer（可以签署第一个CA使用几次以后，签署第二个CA）

    • 1. 使用ROOTCA签署第一个CA

      
      

      java -jar limax.jar pkix initca "file:ca@/work/pkix/root" "pkcs12:/work/pkix/ca/ca0.p12#ec/256" "dc=ca,dc=limax-project,dc=org" "20150101" "20200101" "root.limax-project.org"
      

    • 2. 使用ROOTCA签署第二个CA（subject相同）

      
      

      java -jar limax.jar pkix initca "file:ca@/work/pkix/root" "pkcs12:/work/pkix/ca/ca1.p12#rsa/2048" "dc=ca,dc=limax-project,dc=org" "20170101" "20300101" "root.limax-project.org"
      

    • 3. 配置域名服务器，将ca.limax-project.org解析到运行CAServer的机器的IP上。

      
      

      java –jar limax.jar pkix ca caserver.xml
      

    • 4. 拷贝出当前目录下生成的authcode.jar，在证书管理页面中使用。