0

We used a static value ‘usernameTest’ as username to request EJBCA to generate X.509 certifcates; after generating certificates using this satic username we changed it to a unique value identifiying uniquely each certificate (Since using a static username is considered as a renew since the username is the same for all certificates (*) ) but now EJBCA refuses to generate certificates and stil reference the old static username ‘usernameTest’; we get this error:

User '250320092916' is not allowed to use same key as the user(s) ‘usernameTest’ is/are using.

We revoked all certificates previously generated for username 'usernameTest', but we still get this error message from EJBCA. Is there any way we can remove username 'usernameTest'?

Each certificate has a unique SubjectDN and username.

The version of EJBCA is ejbca-6.2.0.

(*): All generated certificates in EJBCA Administration GUI are related to the same username.

Thanks in advance.

4

4 回答 4

2

托马斯是正确的。转到 CA 功能下的“证书颁发机构”。编辑您的 CA 并在“指令”部分下找到名为“强制执行唯一公钥”的设置。

取消选中强制,您将能够为不同的用户使用相同的公钥。

于 2016-08-03T19:33:47.823 回答
1

您可以将 PTK-C 模拟器配置为不重用随机种子(是的,这很烦人)。对于 ejbca,我们在此处记录了它。您必须设置环境变量 ET_PTKC_SW_AUTOSEEDRNG=true。使用此设置,模拟器将生成真正的密钥,每次都会生成一个新密钥。

于 2016-08-04T21:46:50.137 回答
1

它与 HSM 无关。CA 的默认策略设置是不允许用户共享相同的最终用户公钥。即不向不同用户颁发具有相同公钥的证书。这是 CA 设置中的复选框设置。

于 2016-03-30T08:08:12.953 回答
1

问题解决了;问题不在于对 usernameTest 的引用仍在EJBCA中,而是相同的密钥(RSA 公钥)用于其他用户的请求('250320092916')。

当依赖Safenet ProtectServer 系列中的HSM PTK-C 模拟器时,这似乎是一个已知的限制;当我们重新初始化它时,模拟器会重新启动它的随机生成器(我怀疑是我的误用),这意味着它总是会以相同的顺序生成相同的密钥(这会导致此类错误)。

而且消息错误也不清楚;在没有指定的情况下谈论“密钥”,这会导致与传递给 EJBCA 的 subjectDN 或其他属性混淆,作为错误消息,它可能是“公钥”或“RSA 密钥”,......而不是密钥;)

于 2016-03-28T08:30:47.367 回答