un coup de main de linagora (qui a dit "une fois n'est pas coutume ?") : installation_ejbca_debian.pdf

java

mysql-server

jboss

mise en place d'un serveur ejbca (à partir du serveur par défaut) :

ejbca

ATTENTION, les opérations précédées de $ sont à faire en tant qu'utilisateur jboss

préparation
  • # aptitude install sun-java5-jdk ant (on a besoin de compiler... ce paquet peut sans doute être supprimé ensuite)

  • $ unzip dans /tmp/ejbca_3_7_1

  • adaptations de la configuration dans /tmp/ejbca_3_7_1/conf/ :
    • conf/ejbca.properties
    • conf/database.properties
    • conf/mail.properties
    • conf/ocsp.properties
    • conf/web.properties
    • conf/log.properties
  • # /etc/init.d/jboss4 stop

  • $ export APPSRV_HOME=/usr/share/jboss4

  • $ export ANT_OPTS=-Xmx512m

  • $ ant clean

boostrap
  • avant : # chown jboss /srv/jboss4/ejbca/deploy

  • $ ant bootstrap

  • après : # chown root /srv/jboss4/ejbca/deploy

finalisation
  • # ln -s /usr/share/java/mysql-connector-java.jar /srv/jboss4/ejbca/lib/ : ajout du connecteur java (mmh... y'a pas un moyen plus propre ? classpath ?)

créations certifs
  • # /etc/init.d/jboss4 start

  • $ ant install

déploiement
  • # /etc/init.d/jboss4 stop

  • avant : # chown jboss /srv/jboss4/ejbca/conf  /srv/jboss4/ejbca/deploy /srv/jboss4/ejbca/deploy/jboss-web.deployer

  • $ ant deploy

  • après : # chown jroot /srv/jboss4/ejbca/conf  /srv/jboss4/ejbca/deploy /srv/jboss4/ejbca/deploy/jboss-web.deployer

premier test
  • # /etc/init.d/jboss4 start (attendre 1 min 30 à 2 min sur igc.auf ; ne pas pleurer)

  • aller sur http://.....:8442/ejbca

  • récupération des clés ./p12/superadmin.p12 dans le navigateur
  • aller sur http://.....:8443/ejbca (auth avec certif)

  • ok... bon... c'est à partir d'ici que ça commence à nécessiter quelques neurones ;) ;)

TODO: un dernier atome de sécurisation
  • ajouter un groupe jboss et droits placer des droits rw-r----- root jboss sur les clés et autres (donc addgroup à faire dans le preinst de jboss)

ejbca en ligne de commande

mise en place infra PKI