EJBCA 管理员使用手册(记录制证步骤)

                           EJBCA 管理员使用手册
  本文只是本人使用ejbca架设CA的过程，其中包括了建子CA，建证书属性模板等。
架设EJBCA中间碰到了很多问题，不过还是都基本解决了！  基本上满足制作证书的要求。

参考文章：http://www.zzbaike.com/wiki/EJBCA/%E7%AE%A1%E7%90%86%E5%91%98%E4%BD%BF%E7%94%A8%E6%8C%87%E5%8D%97
-------------------------------从这里开始----------------------------------------------
  1.进入：http://localhost:8080/ejbca
  2.点击 Miscellaneous -> Administration,进入管理员界面
  注意：所有没有提过得字段，表示适用默认值.
  3.新增子CA
    3.1 CA Functions -> Edit Certificate Authorities
    3.2 Add -> 子CA名称 -> Create
    3.3 RSA key size : 选2048
    3.4 Subject DN : 输入Subject DN
    3.5 Signed By : 选择根CA
    3.6 Validity (*y *mo *d) or end date of the certificate : 时间，我一般填3650d
    3.7 CRL Number Critical : 选中
    3.8 Use Issuing Distribution Point on CRLs  : 选中
    3.9 Issuing Distribution Point on CRLs Critical   : 选中
    3.10 Default CRL Dist. Point : 点击Generate.后面需要修改
    3.11 Default CRL Issuer ：  点击Generate.  
    3.12 Approval Settings ：这里一个都不要选，选了很麻烦的（增加证书需要审核）！血的教训
    3.13 点击按钮 Create
  4. Edit Certificate Profiles（编辑/增加 证书属性）
    4.1  Validity (*y *mo *d) or end date of the certificate  ： 填有效期（我的的是3650d）
    4.2  CRL Distribution Point Critical : 选中
    4.3  CRL Distribution Point URI ： CRL分发点的URI，这个可以从CA Function -> Basic Functions -> get CRL 那里找
    4.4  CRL issue : CRL 发布人
    4.5  Key usage ： 根据需要选 密钥用法
    4.6  Use Extended Key Usage ：根据需要选择 扩展密钥用法
    4.7  Available CAs ：这里选择你当前的Certificate Profiles给那个CA ，第3步增加的CA和根CA都在这里。
    4.8  Type : 如果Available CAs选择的是子CA ,那么这里必须选择Sub CA，否则在证书导入到IE里面会有问题：如证书路径等问题。
    4.9  Approval Settings  ： 这里不要选
    4.10 点击按钮 Save
   5. Edit End Entity Profiles（编辑/新增 实体属性）
    5.1 RA Functions -> Edit End Entity Profiles
    5.2 Add Profile -> 输入实体属性名 -> Add
    5.3 Subject DN Fields : 这里根据你的需求选择主题字段，默认只有一个Common Name
    5.4 Subject Alternative Name Fields : 根据你自己的需求，选择备用主题字段
    5.5 Subject Directory Attribute Fields ：      根据你自己的需要增加
    5.6 Default Certificate Profile ： 选择你默认证书属性模板，也就是第4步。
    5.7 Available Certificate Profiles : 选择5.6步中选择的和ENDUSER ，或根据自己的需要选择。
    5.8 Default CA ： 默认CA,我选择了第3步新增的子CA。
    5.9 Available CAs ： 可用的CA，这里选择5.8步选择的子CA。
    5.10 Default Token ：根据自己的需要选择（下载证书的文件类型），我选的是 P12 File
    5.11 Available Tokens :  我选的是P12 File
    5.12 点击按钮 Save
   6.Add End Entity(增加实体，制证)
    6.1 RA Functions -> Add End Entity
    6.2 End Entity Profile : 选择实体属性模板，选第5步制作的模板
    6.3 根据label，在文本框中填入对应的数据，默认不能填中文，需要修改 ejbca/src/adminweb/ejbcajslib.js ,
        修改js验证方法，验证是用正则表达式验证，在正则表达式中加入 \u4e00-\u9fa5 ，再重新发布下。
    6.4 Certificate Profile ： 根据需要选择
    6.5 CA 、Token ： 同上
    6.7 点击按钮  Add End Entity
   7. 下载证书
    7.1 点击 Public Web,进入下载证书页面
    7.2 Enroll -> Create Browser Certificate
    7.3 输入 UserName 、Password
    7.4 点击 OK
    7.5 Options -> Leave value as default is unsure -> key length : 这个地方是选择密钥长度，我这里选择 1024bits
    7.6 Certificate profile: 根据自己再上面步骤中的选择
    7.7 点击 OK 。如果你安装了迅雷，如果迅雷下载框先弹出的话，
        一定要选 使用IE下载.迅雷下载会失败。如果你用firefox的话，可能下载下来的证书文件名乱码，需要修改下文件名和后缀。
   8.导入证书。 这一步不多说，双击一路下一步，中间会要输密码。
   9.查看证书信息(IE为例)
    9.1  工具
    9.2  Internet 选项
    9.3  内容
    9.4  证书
    9.5  在个人tab中找到刚刚导入的证书后，双击打开。