0

EJBCA に X.509 証明書の生成を要求するために、ユーザー名として静的な値「usernameTest」を使用しました。この静的ユーザー名を使用して証明書を生成した後、各証明書を一意に識別する一意の値に変更しました (ユーザー名はすべての証明書で同じであるため、静的ユーザー名の使用は更新と見なされるため (*) )、EJBCA は証明書の生成を拒否し、古い静的ユーザー名「usernameTest」を参照します。次のエラーが表示されます。

ユーザー '250320092916' は、ユーザー 'usernameTest' が使用しているキーと同じキーを使用することはできません。

ユーザー名「usernameTest」に対して以前に生成されたすべての証明書を取り消しましたが、それでも EJBCA からこのエラー メッセージが表示されます。ユーザー名「usernameTest」を削除する方法はありますか?

各証明書には、一意の SubjectDN とユーザー名があります。

EJBCA のバージョンはejbca-6.2.0です。

(*): EJBCA 管理 GUI で生成されたすべての証明書は、同じユーザー名に関連付けられています。

前もって感謝します。

4

4 に答える 4

2

トーマスは正しいです。CA 機能の下の「認証局」に移動します。CA を編集し、[ディレクティブ] セクションの下にある [一意の公開キーを強制する] という設定を見つけます。

強制をオフにすると、異なるユーザーに同じ公開鍵を使用できるようになります。

于 2016-08-03T19:33:47.823 に答える
1

ランダム シードを再利用しないように PTK-C シミュレータを構成できます (はい、これは非常に面倒です)。ejbca については、こちらに文書化されています。環境変数 ET_PTKC_SW_AUTOSEEDRNG=true を設定する必要があります。この設定により、シミュレーターは毎回新しい鍵を生成します。

于 2016-08-04T21:46:50.137 に答える
1

HSM とは関係ありません。CA の既定のポリシー設定では、ユーザーが同じエンド ユーザー公開キーを共有することは許可されていません。つまり、同じ公開鍵を持つ証明書を異なるユーザーに発行しないでください。これは CA 設定のチェックボックス設定です。

于 2016-03-30T08:08:12.953 に答える
1

問題は解決しました。問題は、まだEJBCAにある usernameTest への参照ではなく、他のユーザーの要求に同じキー (RSA 公開キー) が使用されていることです ('250320092916')。

これは、Safenet ProtectServer シリーズのHSM PTK-C シミュレーターに依存する場合の既知の制限のようです。シミュレーターは、再初期化するとランダムジェネレーターを再起動します (私からの誤用が疑われます)。これは、常に同じキーを同じ順序で生成することを意味します (そのようなエラーにつながります)。

しかし、メッセージ エラーも明確ではありません。指定せずに「キー」について話すと、サブジェクトDNまたはEJBCAに伝達される他の属性との混乱につながります。エラーメッセージとして、キーではなく「公開キー」または「RSAキー」である可能性があります;)

于 2016-03-28T08:30:47.367 に答える