md.

在公司試用期兩個月，一眨眼就要過去了，接觸的新東西太多，一直摸著石頭過河。快要考核了，趕緊梳理下。

CA：  分為 Server 和 Admin 兩端，一個Web專案，執行在 CentOS 的 jdk32上。一個應用程式，執行在 win端。

Server 初始化之後，匯入licence許可證，然後啟用，就可以了。初始化之後會產生 SA 和 AA 兩個管理員。

在Admin上，插上 USBKey，通過 配置連線CA-Server，通過兩碼下載 SA 和 AA的證書，之後通過 SA 或 AA 登入CA，開始構建 CA管理員家族。包括 BA、BO、RA。

RA：是一個 API，目前我看到的 是一個 demo+API，執行在 win 下的。通過eclipse 可以啟動，需要配置index.jsp。

配置過程需要配置證書：ra.cer 的證書。ra.cer的證書 是通過genCSR.sh產生一個p10,再通過 CA-Admin的 BA 建立的RA使用者，使用p10請求一個p7，p7儲存為一個ra證書。

配置需要 ： ra證書、公鑰、私鑰、口令等，然後就可以啟動了，啟動之後，進行使用者註冊。

如果遇到 沒有許可權，說明RA沒有註冊使用者的許可權，需要使用 Admin 的BA登入CA，對RA進行授權。

如果遇到 驗證金鑰錯誤，可根據錯誤號查詢，也可以開啟列印跟蹤日誌，看看debug,我遇到過兩次，一次是配置資訊錯誤或者是有tomcat的快取原因，不太清楚。第二次，重新重新構建了一個 RADS,直接配置執行，沒問題。

RA可以註冊使用者之後，進行證書下載，需要注意ra的證書模板，如果ca沒有配置kmc,只能下載 單證，如果ra的證書模板是雙證，是會失敗的，但是沒有提示資訊，所以需要再去CA的BA登入Admin,對RA的進行單證模板授權。這樣就可以了。

KMC：也是 Server-Admin。Server 是一個Linux的專案，金鑰管理。Admin 是一個win的桌面程式。

KMC服務的搭建需要連線資料庫， CA的根證書 和 SA 和 AA的證書，然後就是祕鑰持有者操作了。

KMC完成之後，通過 USBKey 的 BO 證書登入CA-Admin，通過使用者註冊，註冊 kmc 的管理員，並下載其證書，儲存在本地。

使用USBKey 的SA登入 KMC-Admin, 建立 BA，並將之前下載的證書繫結到 BA上，就完成了 KMC的管理員註冊。

如果需要 在另一個key中註冊 稽核者，通過 CA-Admin的使用者註冊，下載證書就可以了，下載的時候，選擇 USBKey，之後通過SA 連線 KMC-Admin,完成 kmc-BA的註冊，並繫結證書。

完全重新搭建整個產品線：

NetCertCA-Server:

1. 使用指令碼啟動，使用IP+Port 登入 Web  Console 。

2. 連線已準備好的資料庫，配置CA，CRL，等。

3. 獲得 sa  和 aa 的兩碼。

4. 匯入 licence 許可證，許可證只跟 虛擬機器系統有關，只要不換系統，可以接著用。

5. 啟用CA服務。

NetCertCA-Admin：

1. 安裝客戶端軟體，下載 sa  和  aa 的證書。

2. 通過Admin 登入CA，建立 BA 、BO 、並下載證書。

NetCert-Demo(RADS）:

1. 將專案匯入 eclispe，匯入jar包。

2. 通過 CA-Server的genCSR.sh指令碼 ，生成一個 p10證書請求，csr、pri、pub。

3. 通過 CA-Admin的 BA 連線 CA,建立一個 RA，並使用 csr下載 證書，到本地。

4. 配置index.jsp中的 IP地址，金鑰路徑（注意加檔名不加字尾) ，證書路徑（檔名加路徑），口令，等。

5. 啟動專案到 Tomcat，進行使用者註冊測試，如果許可權不夠，是因為 RA沒有模板許可權，如果金鑰錯誤，是配置問題。

6. 註冊完成之後，查詢使用者，證書下載，選擇一個單證模板，例如 ee_sign 。獲取兩碼。

7. 通過證書下載，選擇 SM2,單證，輸入兩碼，通過USBKey下載，需要IE瀏覽器。

8. 完成單證下載，簽名證書自動進入 USBKey。

NetCert-KMC-Server:

1. 準備好 ca根證書，通過 CA-Server的cert資料夾中，獲取。

2. 準備好 sa  、aa 證書，通過 證書管理工具，匯出。

3. 通過start.sh指令碼 啟動 kmc，配置ca  sa   aa 證書，祕密持有者，等，完成初始化。獲取 兩個CSR。

4. 使用 CA的 BO 獲取 身份證書 和 通訊證書，分別使用不同的模板，secure_comm  和 secure_comm_enc 模板。獲取到p7.

5. 雙擊p7，選擇證書，所有任務，匯出，獲取兩個證書。分別是 kmc的身份證書 和 kmc的通訊證書。

6. 重啟 KMC-Server,並將證書上傳到 KMC-Server上，完成配置。再次重啟。

7. 通過 CA-Admin，的BO登入，建立管理員，申請證書。

8. 通過 證書管理工具，將管理員證書匯出，在 KMC-Admin,登入SA管理員，建立 BA 、BO 並將證書與使用者連線起來。這樣在KMC-Admin使用證書登入時，KMC就已經存在此證書的對應使用者，所以是可以登入的。

結果使用 CA-Admin 的BO連線CA，註冊使用者，下載雙證書，出現 KMC身份證書不受信任。結果 是 KMC 和 CA的通訊證書不一致。

關於 KMC  和 CA之間的證書關係，搞了好久，最後發現文件裡寫的很清楚，真的是沒勁。

回家之後梳理下：

CA中需要配置 KMC的資訊，有 信任證書 和 身份證書DN，其中 信任證書： CA的根證書 ，身份證書DN ：KMC的身份證書主題

KMC在服務搭建時，需要寫 信任CA證書： CA的根證書，也就是簽發KMC管理員的證書，

KMC在新增CA的時候，需要填 ：CA根證書，和 身份證書DN：也就是 caId 的證書的主題。

至此就完成了 CA 和 KMC 的配置。至於是怎麼個原理，還不清楚。

CA-Admin 在申請使用者雙證的時候，將使用者資訊傳送給 CA-Server，Server 簽發簽名證書，然後請求KMC 分配加密金鑰，通過KMC配置的身份證書DN與KMC進行通訊，KMC也通過caId的身份證書DN與CA通訊。

.....x

然後看看Linux的知識點。