问题标签 [ejbca]

我们有一个注册 iOS 设备的 mdm 服务器，我们使用 EJBCA 进行 SCEP 注册。在注册期间，iOS 系统与 EJBCA 服务器通信并从 EJBCA 下载 CA 证书。以下是 iOS 系统调用以从 EJBCA 获取证书的 EJBCA 端点 -

证书的有效期设置为 2 年。那么如果证书过期或即将过期，两年后会发生什么。iOS系统会自动检查过期并更新CA证书吗？

我有一个奇怪的问题。我为具有自定义权限的 CA 创建了一个实体作为管理员，之后我将其密钥库导入到硬件令牌中（在公共网络中使用“创建浏览器证书”），并且我也在硬件令牌中导入了它的证书。现在我使用我的硬件令牌进入 CA 的 adminweb，但是当我弹出硬件令牌时，我仍然可以执行添加终端实体或在 adminweb 中创建证书配置文件等操作。这是正常的吗？我的意思是显然它应该阻止我在从我的电脑中弹出硬件令牌后立即执行任何操作，因为客户端密钥对和证书在硬件令牌中，并且在弹出硬件令牌后它们不存在，对吗？如果不正常，我该如何解决？有配置或其他东西吗？

我的 ejbca 版本是 6.0.4，它在 Windows 10 上运行。

我试图通过 SOAP Web 服务将 pkcs10Request 发送到 EJBCA。方法签名是（来自文档）

目标是为用户生成证书。PKCS#10 是用 java keytoll 制作的，看起来像这样：

我这样发送请求：

但是我遇到了错误，在 EJBCA 的日志中我看到了这个错误：

如果我没记错的话，原因在pkcs10。但它包含子字符串“-----BEGIN NEW CERTIFICATE REQUEST-----”。我不明白，我必须以什么格式发送 pkcs#10。我是新手，请帮忙。

我遇到了一个大问题。我必须在 python 客户端中调用 EJBCA Web 服务才能发布证书。我写了我的代码如下：

这是输入的 csr ：

我不知道我犯了什么错误，但是我在 client.service 方法上得到一个索引超出范围的异常。谁知道如何解决这个问题？谢谢你 。

我刚刚在 Wildfly 上安装了 ejbca 社区版。EJBCA 服务器是 Azure 云中的 VM。

构建期间一切正常：每 3 个部署步骤构建成功。

版本：

但是我无法到达目的地

错误信息 ：

因此，开始检查打开的不同端口：

在 EJBCA VM 上，本地端口扫描显示端口 8443 和 8080 是开放的：

对于每个测试的端口，从我的 ip 到 EJBCA 主机的 Azure 连接测试都可以。

但是，在线端口检查显示端口 8443 和 8442 已关闭 https://portchecker.co/

所以我不知道该信任哪个测试？

我尝试禁用本地防火墙和代理，但没有任何区别。

我在尝试访问 ejbca url 时在 EJBCA 服务器上执行了 tcpdump：但没有显示任何内容。

我在这里想念什么？我还可以进行哪些其他测试？

编辑 ：

服务器日志：（错误和警告）

网络管理错误：

已弃用的库：

严重错误：

警告：

我有一个在 Windows Server 2012 R2 机器上运行良好的 .NET 4.5 Web 应用程序，但是当部署在 Windows Server 2016 机器上时它无法运行。

该应用程序利用其 Web 服务接口与相当旧的 Ejbca 安装进行交互。
当部署在 IIS 8.5.9600 中的 Windows Server 2012 R2 机器上时，该应用程序运行良好。
在 IIS 10.0 中的较新机器（Windows Server 2016）上部署时，对该 Web 服务的任何调用都会失败，并出现以下异常：

这种行为的原因可能是什么？

我刚刚使用本教程在 debian9 azure VM 上完成了 ejbca 6 的部署：

https://wiki.e-odyssey.net/ejbca/french-tuto

安装成功，但是：端口 443,80 已关闭

root@ejbcaDebian9:/home/ejbca# nmap <ejbca_public_ip>

尝试使用 ufw 打开它们并在 azure 上添加网络入站规则但它不起作用所以我重新启动了 VM

但是，重新启动后：不再打开任何端口

pki@ejbcaDebian9:~$ netstat -lapunta （无法读取“-p”的信息：geteuid()=1001 但您应该是 root。） 活动 Internet 连接（服务器和已建立） Proto Recv-Q Send-Q 本地地址外部地址状态 PID/程序名称 tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN - tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN - tcp 0 36 172.18.0.4:22 51.144.166.96:37858已建立 - tcp6 0 0 :::22 :::* 监听 - udp 0 0 0.0.0.0:68 0.0.0.0:* -

在wildfly日志中我们有这个：

systemctl status wildfly 不起作用。似乎这种类型的 ejbca 设置无法让我重新启动 ejbca 或 wildfly 服务。

我想知道这是否不是持久性问题？

我正在尝试升级 EJBCA。

我尝试使用 Wildfly 18 在本地的 ubuntu 20.04 上运行它。Wildfly 18 导致此错误：“原因：需要客户端证书或 OAuth 持有者令牌。”

我已经尝试了这两种方法，通过从另一个实例导入密钥库、信任库和超级管理员，以及通过创建新的 CA 并使用生成的超级管理员.p12。

主页加载，但管理给我以下错误：

“AUTHORIZATIONDENIED CAUSE：需要客户端证书或 OAuth 持有者令牌。”

我真的可以在这方面使用一些帮助。

我尝试过的事情：（1）我已经下载了 superadmin.p12 并将其导入到我的浏览器中（2）我试图上传 superadmin 证书：

bin/ejbca.sh ca importcacert ${NAME} ${NAME}.cacert.pem -initauthorization -superadmincn SuperAdmin

• 这将导致 CA 证书已导入。(3) 我的 keystore.jks 和 truststore.jks 都移到 /ejbca/p12 和 /opt/wildfly/standalone/configuration/keystore (4) 我确实设置了 "web.reqcertindb=false" (6) 我确实尝试过在wildfly 14上启用ssl（https://docs.bitnami.com/bch/infrastructure/wildfly/administration/enable-ssl-wildfly/）（7）我也尝试了新的Management_CA

/ejbca/adminweb 的日志：

如果需要，我可以提供更多信息。

谢谢

我正在使用 Spring Boot 来处理证书和客户端postman以与服务交互，假设privatekey，publickey并且certificate已经处理decrypted，然后使用CertificateHelper getCertificate()函数来parseX509Certificate

getCertificate()课堂上的功能CertificateHelper

ongetCertificate()函数调用另一个类CertTools函数getCertfromByteArray()

和详细功能getCertfromByteArray()

• 在第 779 行处理获取日志打印
• 第 780 行的进程无法执行，然后客户端得到返回的响应http code 200
• 第 781 行的散文没有执行，因为第 780 行

任何建议为什么从第 780 行以空正文和 http 代码成功 200 回复我的邮递员？

*注意类CertificateHelper，CertTools是来自官方https://mvnrepository.com/artifact/org.ejbca的库

我需要一个为 P2P 系统创建证书颁发机构服务器，也就是我需要一个系统：

1. 接收证书请求
2. 根据请求创建证书
3. 按要求提供证书

所有这些都必须通过 API 完成，因此可以自动化。有没有系统可以做到这一点？我一直以 OpenCA 为导向，但整个事情的文档记录如此之差，以至于它几乎就像黑魔法一样。EJBCA 会是一种选择吗？或者也许是easy-rsa？欢迎任何建议。