在 EJBCA 安装期间创建 EJBCA 子 CA

Create EJBCA subCA during EJBCA installation

我正在学习如何安装和使用 EJBCA 来部署企业 PKI。我知道我可以使用配置脚本 ejbca-setup 的快速安装来安装 EJBCA,就像解释的那样 here, and I also have tested a longer install process with WildFly 10 like explained here。在这两种变体中,我都需要创建一个默认的 ManagementCA,并且我可以在安装过程中进行一些与我正在使用的数据库和其他内容相关的配置更改。我的问题是我需要安装 subCA 类型的 CA,而我的 subCA 私钥来自根 CA 的 PKCS12 或 PEM 文件(我还不完全确定格式)。

现在我知道我可以使用默认 CA 安装 EJBCA,然后创建我的子 CA 作为第二个,就像解释的那样 here,但我想知道我是否可以创建这个子 CA 作为我的第一个 CA在安装过程中,因为我不需要默认 CA。另外,如果我必须强制创建默认 CA,我想知道在我创建我的子 CA 后是否可以删除这个默认 CA 而没有问题,或者这个第一个默认 CA 是否是 EJBCA 的某种特殊 CA。

默认的ManagementCA没什么特别的,可以删除。

如果您愿意,可以使用外部 CA 进行初始安装以获得管理员证书。记录在此处:https://doc.primekey.com/ejbca/ejbca-installation/installing-ejbca/install-ejbca-as-a-ca-without-a-management-ca 请注意“-superadmincn”参数,它在安装期间将您的外部颁发证书绑定到 suprt 管理员角色。