EJBCA构建

格式：doc
大小：2.13 MB
文档页数：41

下载文档原格式

Chap8基于分布构件的体系结构

国防科技大学计算机学院
7
8.1 EJB分布构件框架
实例：HelloWorld
3. EJB客户HelloWorldClient的开发
1. package examples.client; 2. 3. import java.util.Properties; 4. import javax.naming.Context; 5. import javax.naming.InitialContext; 6. 7. import examples.server.HelloWorld; 8. 9. public class HelloWorldClient { 10. protected static HelloWorld helloworld; 11. public static void main(String[] args)
网络交互
国防科技大学计算机学院
10
8.1 EJB分布构件框架
原理分析：本实例中定义的三个类之间的关系如下图所示。构件HelloWorldBean 的实例由构件容器负责创建。
EJB构件容器 EJB构件 :HelloWorldBean 隐式中间件服务
·生命周期管理 ·事务管理 ·持久化服务 ·安全服务 ·等等
原理分析：本实例中定义的三个类之间的关系如下图所示。构件HelloWorldBean 的实例由构件容器负责创建。
EJB构件容器 Java客户端应用 :HelloWorldClient EJB构件 :HelloWorldBean
EJB构件远程接口的Stub helloworld:HelloWorld JVM JVM
Marshalling
Unmarshalling
网络

基于ejbca搭建自己的CA认证中心之ejbca安装配置指南

基于EJBCA搭建自己的CA认证中心之EJBCA安装配置指南出家如初,成佛有余目录1. 概述 (3)2. 软件环境 (3)3. EJBCA基本架构 (4)4. EJBCA的部署模式 (4)5. JDK安装 (5)6. Java(TM) Cryptography Extension (JCE)安装 (5)7. ANT安装 (6)8. Jboss安装 (7)9. Mysql安装配置 (8)10. 环境变量配置 (8)11. EJBCA安装配置 (9)12. 导入p12格式的证书说明 (10)1.概述PKI(Public Key Infrastructure ) 即"公钥基础设施"较好地解决了Web 应用中的机密性、完整性、真实性和抗否认性等安全问题。

但在Web 环境下，还必须证明公钥与其持有者之间的映射关系，并认证密钥持有者的身份。

数字证书很好地解决了这个问题。

同样，在分布式环境下，还应该建立起安全、有效的证书管理机制，实现证书的生成、存储、分发、吊销等操作，从而为Web 应用乃至网络通信提供必要的密钥和证书服务。

公钥基础设施PKI 就是这样的一种提供安全服务的基础设施。

PKI 的核心是对证书及其公/私钥对的管理。

同时，PKI 也代表着一种分布式的信任模型关系，它首先要选择或定义证书格式及其操作过程，其次需要明确证书签发机构或个人之间的信任关系。

EJBCA就是这样一个针对PKI证书体系企业级的开源解决方案。

它基于J2EE技术，提供了一个强大的、高性能并基于组件的CA体系。

EJBCA兼具灵活性和平台独立性，能够独立使用，也能和任何J2EE应用程序集成。

2.软件环境操作系统：Centos 5.4数据库：mysql 5.0JDK：jdk 1.6EJBCA：ejbca 3.9.3ANT: ant 1.7.1JBOSS：jboss 4.2.3约定ejbca及相关软件都安装在/opt/目录下。

J2EE开发要点

获得对实体的home接口的引用（使用getEJBLocalHome或
getEJBHome方法）把引用作为方法调用的参数或者返回值传递（限于使用本地接口的本地方法）
实体bean的主键类
实体bean的主键是实体bean
个实体对象主键是容器在创建实体bean时，赋予实体bean实例的唯一性标识使用一个单域作为表的（主）键通常该域的值是整数或一个唯一确定一行的字符串需要在bean的DD中定义存储这个主键的类对于CMP bean需要在DD中声明主键对应的域使用多域作为主键需定义一个主键类用于表示实体bean的主键需要声明实现Serializable接口
删除一个会话bean
客户方使用完会话bean以后，必须调用会话对象或home对象（仅适用于远地对象）的remove方法删除这个会话bean。

定义会话bean的remote接口
会话bean的remote接口定义了会话bean的客户方视图。组件的远地或
本地接口是定义要展现给会话bean客户方的业务方法的地方。
EJB及其它对象的定位
EJB应用中，需要某种设施一致、动态地定位资源（EJB、数据源等）
以保证系统的可移植性和可伸缩性。EJB使用Java名字与目录服务支持此功能的实现。
EJB可使用的名字与目录服务有很多种，如RMI
Registry、CORBA CosNaming、LDAP等。EJB使用J2EE标准API JNDI使应用能够以标准的方式访问已有的和正在出现的名字与目录服务。
public void ejbPassivate() throws EJBException, RemoteException;
public void ejbLoad() throws EJBException, RemoteException; public void ejbStore() throws EJBException, RemoteException; public void ejbRemove() throws RemoveException, EJBException, RemoteException; public void unsetEntityContext() throws EJBException, RemoteException;

Java最著名的开源项目

南开大学软件学院 Java高级技术 8
IBATIS 【持久层框架】
使用ibatis 提供的ORM机制，对业务逻辑实现人员而言，面对的是纯粹的Java对象。相对Hibernate等 “全自动”ORM机制而言，ibatis 以SQL开发的工作量和数据库移植性上的让步，为系统设计提供了更大的自由空间。
2
WebWork 【Web框架】
WebWork是由OpenSymphony组织开发的，致力于组件化和代码重用的拉出式 MVC模式J2EE Web框架。在WebWork2.2中添加了对AJAX的支持，这个支持是构建在DWR与Dojo这两个框架的基础之上.
南开大学软件学院框架】
南开大学软件学院 Java高级技术 32
JMagallanes 【报表制作】：开源项目 JMagallanes是一个用Java/J2EE开发的 Olap和动态报表应用程序
南开大学软件学院 Java高级技术
33
JoBo 【Java开源 Web爬虫】：JoBo是一个用于下载整个Web站点的简单工具。它本质是一个Web Spider。与其它下载工具相比较它的主要优势是能够自动填充form(如：自动登录)和使用 cookies来处理session。JoBo还有灵活的下载规则(如：通过网页的URL，大小， MIME类型等)来限制下载。
南开大学软件学院 Java高级技术
21
opencrx 【ERP与客户关系管理】
opencrx很容易与你现存的系统集成 (ERP, IVR, CTI, ...)是你对你以前投资的最大保护 openCRX支持大多数通用技术，例如 RMI, CORBA, JMS, SOAP, 以及 JCA
南开大学软件学院 Java高级技术

JAVA工程师EJB面试题集

JAVA工程师EJB面试题集EJB (Enterprise JavaBean)是J2EE的一部分，定义了一个用于开发基于组件的企业多重应用程序的标准。

其特点包括网络服务支持和核心开发工具(SDK)。

在J2EE里，Enterprise Java Beans(EJB)称为Java 企业柄，是Java的核心代码，分为整体柄和片段柄和消息柄三个部分，其中的消息柄将在以后再作讨论。

现在我们来看看什么是整体柄和片段柄。

整体柄是一种对象: 标准Java对象由创建它的程序创建，当程序终止时，对象也随之丢失，这就意味着当再次运行些程序时，将无法找到先前创建的柄，而整体柄会一直存在着直到它被删除。

一个程序可以创建一个整体柄，并且这个程序可以在被保存后随时停止和重启。

整体柄将会依然存在。

重启后，程序可以找到与之相对应的整体柄，并且会继续使用这个整体柄。

EJB实际上是SUN的J2EE中的一套规范,并且规定了一系列的API用来实现把EJB概念转换成EJB 产品.EJB是BEANS,BEANS是什么概念,那就是得有一个容纳她,让她可劲造腾的地方,就是得有容器.EJB 必须生存在EJB容器中.这个容器可是功能强大之极!她首先要包装你BEAN,EJB的客户程序实际上从来就不和你编写的EJB直接打交道,他们之间是通过HOME/REMOTE接口来发生关系的.它负责你的BEAN的所有的吃喝拉萨睡,比如BEAN的持续化,安全性,事务管理...一.什么是EJB?一个技术规范：EJB 从技术上而言不是一种"产品"EJB 是一种标准描述了构建应用组件要解决的:可扩展(Scalable)分布式(Distributed)事务处理(Transactional)数据存储(Persistent)安全性(Secure)二.Sun 对EJB 的期望提供一个标准的分布的、基于OO的组件架构屏蔽复杂的系统级功能需求Write once, run anywhere与非Java 应用之间的互操作能力兼容CORBA标准三.为什么选择EJB?EJB 服务器完成"繁杂"的工作：应用开发人员关注于业务逻辑的实现而不是底层的实现机制(类似于4GL 语言设计的目标)支持事务处理多个业务操作同时成功，或全部失败可以通过在代码外的描述来定义事务处理级别可扩展性EJB 可以根据您应用的增长而扩展EJB 服务器往往还提供了负载均衡和安全性：由EJB 服务器提供资源的访问权限控制四.EJB 架构为了满足架构的目标，规范中描述了服务器(Server)容器(Container)类(Class) 和实例(Instance)Home 和Remote 接口客户端(Client)五. 简化的编程模型关注于业务逻辑实现：EJB 负责生命周期(lifecycle), 数据存储(persistence), 事务处理语义(transactional semantic), 安全(security), ...通用的编程模型：各种服务的高层APIJava 是其编程语言1.EJB 特点由一个EJB 容器在运行时创建和管理EJB在部署EJB 时定制其运行方式由EJB 容器和服务器来协调客户端的访问可以部署到任何兼容的EJB 容器中客户端对EJB 的视图是由Bean 开发人员决定的2.EJB 服务器管理EJB 容器(它管理Bean)提供对操作系统服务的存取提供Java 相关的服务，尤其是通过JNDI 访问命名空间基于OTS 的事务处理服务3.EJB 容器管理Bean 生命周期：将EJB 服务器提供的服务传递给Bean生成代码来实现对Bean 的存取访问强制事务处理的限制创建、初始化和回收Bean管理持久数据的存储对客户端而言EJB 容器是透明的4.在一个EJB 服务器中的容器目前容器通常是由EJB 服务器本身提供的在EJB 1.0 或1.1 规范中没有定义容器-到-服务器的接口各厂商可以根据他们的见解来实现服务器和容器的各自责任5.容器提供服务: 数据存储容器决定何时载入/储存状态Container-Managed Persistence(容器管理存储/CMP)容器负责存储您的Bean容器生成必要的类和代码Bean-Managed Persistence(Bean 管理存储/BMP)Bean 开发人员提供存储代码开发人员决定如何存储, 容器仍然决定何时进行6.容器提供服务: 事务处理可以由容器代理来实现容器将得到业务逻辑方法的事务处理需求容器提供事务控制代码也可以由程序员通过代码实现7.容器提供服务: 其它服务其它服务包括命名(Naming)安全(Security)线程管理(Thread management)这些服务由容器代理完成将减少应用开发人员的负担8.分布式对象运算远程对象被作为本地对象来处理：传递信息的方式不变，但开销更大Enterprise JavaBeans 永远运行在服务器上：对Bean 的访问永远是远程调用9.Stub 和Skeleton由EJB 生成:"Stub" 对要传递出去的信息编码"Tie/Skel" 将接受到的信息解码并传递给目标对象10.分类: Enterprise JavaBean s+---Entity Beans--CMP/BMPEjb--|+---Session Beans--Stateful/Stateless会话Bean (Session Bean)：根据EJB 规范，一个会话Bean 是:代表单个客户端来执行可以参与到事务处理中不直接代表共享于数据库中的数据，但它能访问和更新这些数据相对而言是短暂存在的当EJB 容器失效后就不存在－－－客户端需要重新建立一个信新的会话对象来继续运算实体Bean (Entity Bean)：根据EJB 规范，一个实体Bean 是:提供在数据库中数据的对象视图允许被多个用户共享存取访问可以是长期存在(只要它存在于数据库中)实体Bean, 它的主键对象, 以及它的远程引用将能跨EJB 容器的宕机而存在11.EJB 类和实例构建EJB 应用包括来自三方的代码开发人员编写的代码由EJB API 定义的类和接口由容器自动生成的代码开发人员编写的代码包括Bean 类(定义了业务逻辑)Home 接口(如何查找或创建bean)Remote 接口(如何存取bean)其它组件，根据bean 实际要求12.EJB Home 接口每个bean 有一个用于:创建新的bean 实例、查找现存的bean (只能是实体bean)Remote 接口：定义bean 的公共接口－－－只有在Remote 接口中定义的方法才能被客户端访问EJB 客户端可以为servlet, JSP, 应用程序或其它bean通过JNDI 来查找EJB home 接口，步骤为:创建一个JNDI Context (initial context)使用JNDI Context 来查找bean home 接口使用bean home 接口来创建/查找bean 实例使用bean 实例完成业务操作实际的存取(对EJB) 是通过容器生成的类来完成EJB 架构客户端对bean 访问永远不是直接的EJBObject (tie) 是由容器自身提供的：用来帮助管理bean 的生命周期EJB 中的角色EJB 服务器供应商: 开发并销售EJB 服务器EJB 容器供应商: 开发并销售EJB 容器Enterprise bean 开发人员: 开发并销售EJB应用组装人员: 将不同的EJB 搭建成应用六、EJB的体系结构目前，EJB最新的标准是2.1，EJB3.0规范正在讨论中，预计将于明年推出。

手把手教你构建EJB

弹出“新建企业应用程序”对话框
添加 Stateful Session Bean 右键点击“StatefulSessionBeanCase-ebj”模块在弹出的菜单中选择“新建” 在弹出的菜单中选择“其他” 弹出“新建文件”对话框 i. ii. iii. e) i. ii. iii. iv. v. 在“类别”中选择“Java EE” 在“文件类型”中选择“会话 Bean” 点击“下一步” 在“EJB 名称”项中填写要生成的 Bean 的名称“Account” 在“包”项中添加包名“session” 在“会话类型中”选择“有状态” 在“创建接口”中选择“远程” 点击“完成”
当前软件环境
1. 2. 3. NetBeans 6.9.1（各版本 NetBeans 界面可能稍有不同，但大体一致） JDK 6 Windows 7 操作系统
Stateless Session Bean
1. 打开 NetBeans
图 1 NetBeans 界面
2.
在左侧单击鼠标右键→选择新建项目 a) b) c) 选择左侧类别中的“Java EE” 选择右侧项目中的“企业应用程序” 点击“下一步”
北京工业大学·计算机学院·计算机软件与理论
图 8Business 方法实现
11. 添加一个用于访问该 StatelessSessionBean 的 Servlet 对象 a) b) c) d) 在左侧项目中右键击“StatelessSessionBean-war”模块在弹出的菜单中选择“新建” 在弹出的菜单中选择“其他” 弹出“新建文件”对话框 i. ii. e) 在选择文件类型中的“类别”目录中选择“Web” 在“类型中”选择“Servlet”
北京工业大学·计算机学院·计算机软件与理论

基于 EJB 组件的研究与实现

EJB 技术已经越来越多地应用到大型网络系统开发中，本文中，笔者将介绍 EJB （Enterprise Java Beans）的定义、基于 EJB 技术的应用系统结构模型以及 EJB 组件的内容和分类，最后结合基于 EJB 的结构模型和 EJB 组件开发的资源库系统。
EJB 从技术上而言不是一种“产品”，而是一种技术规范。SUN 公司对 EJB 的定义是： EJB 的结构是开发和配置基于组件的分布式商务应用程序的一种组件结构。用 EJB 结构开发的应用程序是可伸缩的、事务型的、多用户安全的。这些应用程序可能只需编写一次，却可以在支持 EJB 规范的任务服务器平台上进行配置。总的来说，EJB 是一个组件事务监控的标准服务器端的组件模型。、
5．结束语
软件复用和基于构件的软件开发是软件工程化开发和工业化生产的必然趋势,可复用构件的制作和集成组装是其中涉及的两个重要活动。基于 EJB 的构件组装工具，通过接口连接的方式来进行构件间的组装，利用现有的构件来组装一个具有特定业务功能的构件包。构件必须明确定义其接口，其接口包括请求接口和提供接口两部分。每个构件均有其构件描述对其接口进行描述。构件间通过连接器进行相连，连接器将一构件的请求接口的功能与另一构件的提供接口的功能进行匹配，从而实现其通信的完整性。构件间通过连接器连接形成构架，通过构架的描述和各个构件信息来生成整个构件包的组合代码。
2．基于 EJB 技术的系统结构模型
EJB 结构是一个服务端组件结构，是一个层次性结构，其结构模型如图 1 所示。该结构
模型在通常情况下可分为客户层、业务逻辑层和数据层，下面笔者对此作一简单介绍。
图 1：基于 EJB 的应用结构模型
客户层主要是用来满足对整个系统的各种访问需求并处理以下工作：接收用户的输入，还可以

J2EE规范之详解EJB

J2EE规范之详解EJBEJB是J2EE中最核心的技术之一，是一种服务器端组件的体系结构。

它封装了应用程序中的事务逻辑，允许进程建立分布式对象，简化企业级程序的开发。

EJB的提出为EJB组件在何时如何与它们的容器进行交互作用做出了规范。

下面我们就来了解一下EJB的体系结构到底是怎样的。

EJB的体系结构主要由四部分组成。

他们分别是EJB组件，不可见的EJB对象，定义客户访问以及EJB容器职责。

这四部分分别对各自内容进行了规范。

接下来我们将对这三部分做较为详细的介绍。

1. EJB组件。

一个企业Bean的实现应该由多个EJB组件协同工作完成。

EJB组件又分为以下三种：a) Bean类。

Bean类是包含了企业应用事务逻辑实现细节的一个Java类。

为了实现JAVA “Write Once，Run AnyWhere”的理念，Bean类必须实现一个定义完好的接口并且遵守一定的规则，从而能够使得Bean类能够在各个EJB服务器上运行。

EJB规范定义了许多Bean类必须实现的标准接口，这些接口强制Bean类公开EJB组件模型中定义并实现的所有方法。

EJB容器就是通过调用这些必须的方法来对EJB Beans进行管理的。

首先所有的Bean类必须实现的最基本接口是javax.ejb.EnterPriseBean接口。

所有实现了该接口的java类都是一个真正的企业Bean类。

同时该接口又继承了java.io.Seralizable接口，这标志着所有的企业Bean都可以转化为序列流，具有序列化对象的一切特征。

但是特定的企业Bean并不需要直接实现javax.ejb.EnterPriseBean接口，它们只需要实现相应的Bean类型的接口就可以了。

例如会话Bean类实现javax.ejb.SessionBean接口，实体Bean类实现javax.ejb.EntityBean接口，消息驱动Bean实现javax.ejb.MessageDrivenBean接口。

EJB入门

EJB轻松进阶之一EJB轻松进阶一、引言EJB（Enterprise JavaBeans）是Java程序设计中比较高级的内容，也是Java程序员由入门级向高手级前进的门槛。

本文首先以一个例程介绍了一般分布式对象应用程序的基本原理，然后从基本的下载、安装、配置开始，逐步介绍EJB程序编程的方法，从而使EJB的学习成为一件轻松而有趣的事情。

二、典型的分布式对象程序不管是CORBA还是RMI，其实现分布式对象的策略都是相似的，我们可以用一个简单的程序例子来模拟一个分布式对象程序的构成。

这个例子模拟了一个远程请求对象属性的过程。

有一个远程对象Dog在网络上，现在要得到它的名字（strName）属性。

程序在客户端设一个存根（Dog_Stub）类，在服务器端启动一个骨架（dog_Skeleton）类，这两个类都实现了Dog接口，Dog_Stub与Dog_Skeleton通过Socket进行远程通信。

当客户程序DogClient 向Dog_Stub发出获取名字属性的请求时，Dog_Stub对象把方法名“getName()”作为一个字符串通过Socket 发给远程的Dog_Skeleton对象，Dog_Skeleton对象收到这个字符串后再根据字符串的内容执行DogServer 对象的getName()方法，得到Dog的名字，然后又通过Socket返回给DogStub对象。

整个流程通过网络实现，但对于客户程序DogClient来讲，它并不知道真正的Dog对象在哪里，甚至也不知道这个过程通过了网络，它只知道发出的获取名字属性的请求得到了满意的结果而已。

事实上，CORBA或Java RMI的实现方式与此类似，只不过远没有这么简单而已。

这个程序对于说明分布式对象应用程序的执行机理是很有用的。

程序源代码如下所示：文件Dog.javapublic interface Dog{public String getName() throws Exception;}/* Dog */文件DogClient.javapublic class DogClient{public static void main( String[] args ) throws Exception{Dog dog = new Dog_Stub();String strName = dog.getName();System.out.println( "姓名：" + strName );}//main()}/* DogClient */文件DogServer.javapublic class DogServer implements Dog{String strName;int intAge;public String getName() throws Exceptionreturn strName;}//getName()public DogServer( String strNameInput ){strName = strNameInput;}//DogServer()public static void main( String[] args ) throws Exception{New Dog_Skeleton( new DogServer( "TOMCAT" ) );}//main()}/* DogServer */文件Dog_Skeleton.javaimport java.io.*;import .*;public class Dog_Skeleton extends Thread{static ServerSocket ss = null;DogServer ds;public Dog_Skeleton( DogServer dsInput ) throws Exception{ds = dsInput;if ( ss == null )ss = new ServerSocket( 8000 );this.start();}//Dog_Skeleton()public synchronized void run(){Try{while ( ss != null ){Socket socket = ss.accept();ObjectInputStream ois = new ObjectInputStream( socket.getInputStream() ); ObjectOutputStream oos = new ObjectOutputStream( socket.getOutputStream() ); String strMethodName = ( String )ois.readObject();if ( strMethodName.equals( "getName()" ) )oos.writeObject( ds.getName() );oos.flush();ois.close();oos.close();socket.close();}//while}//trycatch( Exception e ){e.printStackTrace();}//catch}//run()}/* Dog_Skeleton */文件Dog_Stub.javaimport java.io.*;import .*;Public class Dog_Stub implements Dog{Socket socket;ObjectOutputStream oos;ObjectInputStream ois;public Dog_Stub() throws Exception{socket = new Socket( "wudi", 8000 );Oos = new ObjectOutputStream( socket.getOutputStream() );Ois = new ObjectInputStream( socket.getInputStream() );}//Dog_Stub()public String getName() throws Exception{Oos.writeObject( "getName()" );Oos.flush();return ( String )ois.readObject();}//getName()}/* Dog_Stub */运行该分布式对象程序时，首先运行DogServer，然后在客户端运行DogClient即可看到结果。

NB-Designer软件操作手册(中文NB5和7适用).

Cat.No.NB 系列V106-CN5-01PNSPO!可编程终端NB-Designer用户手册1前言承蒙您惠购可编程终端NB 系列，谨致谢意。

NB 系列是指在FA 生产现场等地所产生的各种信息的可编程终端（PT）。

请在充分理解可编程终端的功能和性能等的基础上正确使用。

●读者对象本手册以下述人员为对象而编写。

具备电气知识（电气工程师或具备同等知识），且 y 负责引进FA 设备的人员； y 设计FA 系统的人员；y 安装、连接FA 设备的人员； y 管理FA 生产现场的人员。

●使用须知y 本手册除了对NB 系列的连接和设定进行说明之外，还介绍了其它必要的信息。

使用前请仔细阅读本手册，充分理解说明内容。

阅读后请妥善保管本手册，以便随时取阅。

●关于“使用时的承诺事项”1. 保修内容①保修期本公司产品的保修期为自购买之日或交付至指定场所之日起1年。

②保修范围在上述保修期内因本公司的责任而发生产品故障时，本公司将在产品购买地点免费予以更换或维修。

但当故障原因符合下列情况之一时，则不属于保修范围。

a）未按照产品目录或使用说明书等资料中说明的条件、环境、操作方法使用时； b）非本公司产品自身的原因时； c）未经本公司授权而改造或维修时； d）未按照本公司产品应有的方法使用时；e）以本公司产品出厂时的科技水平无法对故障进行预测时； f）因自然灾害等其它非本公司责任的不可抗力而导致故障时。

此外，以上的保修是指对本公司产品单件的保修，因本公司产品故障而造成的损失不属于保修对象。

2. 责任限制①因本公司产品而引起的特别损失、间接损失或消极损失，本公司概不负责。

②对于本公司的可编程产品，因非本公司人员编写的程序或由此而产生的后果，本公司概不负责。

23. 适用条件①将本公司产品与其它产品组合使用时，请确认适用的标准、法规或限制。

此外，请用户自行确认本公司的产品是否与您所使用的系统、机械和装置相兼容。

否则，本公司对自身产品的兼容性概不负责。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

用EJBCA构建自己的CA系统信息安全陈勇摘要：随着Internet的飞速发展，网络中的安全问题日益受到人们的重视。

众所周知，PKI公钥基础设施是目前比较成熟、完善的互联网络安全解决方案。

同时它也是电子商务、电子政务、网上银行等技术的安全核心。

但是PKI 实施起来比较繁琐。

并且当前实现PKI的商用软件价格较为昂贵, 这都阻碍了PKI的广泛应用。

本文针对这一现状，重点介绍实现PKI技术的开源软件EJBCA。

由于EJBCA的配置、使用过程比较繁杂, 并且相关文档比较缺乏, 因此本文通过讲解笔者用EJBCA搭建的一套PKI系统, 详细介绍了EJBCA的配置、使用方法并且详细演示如何利用EJBCA来构建一个比较完整的CA系统来实现颁发证书和验证证书的过程。

关键词: EJBCA, 公钥基础设施PKI, 认证中心CA, 数字证书Build your own CA with EJBCAInformation Security ChenY ongAbstract: With the explosive growth of Internet, increasingly importance has been attached to the security problem of Internet. As we all know, PKI(Public Key Infrastructure) is a mature and consummate formula for settling the security problem of Inte- -net at present. At the same time it’s the security kernel of e-Buniness ,E-Gov,Web bank and etc. B ut it’s verycomplicated to put into practice, and the commercial software which performs PKI is expensive, those retard the progress of the widespread use of PKI. In face of this actual state, this dissertation briefly introduces the open source software: EJBCA which realizes the technology of PKI. As the configuration and use of EJBCA is rather complicated, and lack of associated file, so this paper gives a detailed account of the configuration and use of EJBCA by explaining a PKI system built by author with EJBCA, and it will have some effect on improving the extension and development of PKI.Keyword:EJBCA, PKI, CA, Digital certificate前言随着互联网络应用的不断普及, 以及电子商务、电子政务、网上银行、网上证券等金融业网上交易业务的飞速发展，网络安全，特别是互联网通信的安全性令人瞩目。

互联网络中信息传递的安全问题日益受到人们的重视。

人们在不断探求互联网络中安全问题的解决方法, 从而确保互联网络中信息传递的保密性、完整性、非否认性, 以使互联网络能够为人们提供更加广泛便捷的服务。

PKI技术正是解决互联网络安全问题的良方, 越来越多的人开始关注它, 研究它。

目前PKI 已经是公认的保障网络社会安全的最佳体系。

PKI(Public Key Infrastructure )即"公钥基础设施"较好地解决了Web应用中的机密性、完整性、真实性和抗否认性等安全问题。

但在Web环境下，还必须证明公钥与其持有者之间的映射关系，并认证密钥持有者的身份。

数字证书很好地解决了这个问题。

同样，在分布式环境下，还应该建立起安全、有效的证书管理机制，实现证书的生成、存储、分发、吊销等操作，从而为Web应用乃至网络通信提供必要的密钥和证书服务。

公钥基础设施PKI 就是这样的一种提供安全服务的基础设施。

PKI 的核心是对证书及其公/私钥对的管理。

同时，PKI也代表着一种分布式的信任模型关系，它首先要选择或定义证书格式及其操作过程，其次需要明确证书签发机构或个人之间的信任关系。

EJBCA就是这样一个针对PKI 证书体系企业级的开源解决方案。

它基于J2EE 技术，提供了一个强大的、高性能并基于组件的CA体系。

EJBCA兼具灵活性和平台独立性，能够独立使用，也能和任何J2EE 应用程序集成。

1 绪论1.1 PKI基础1.1.1 概述PKI 是“Public Key Infrastructure”的缩写, 通常被译为“公钥基础设施”[1]。

简单地说, PKI 技术就是使用公开密钥技术和数字证书来提供信息安全服务的基础设施。

众所周知, 公开密钥技术是目前应用最广泛的一种加密技术, 其技术核心是非对称加密技术, 即使用公私密钥对,每对中的公私密钥是一一对的, 并且由其中任意一个密钥加密的文件, 只能由相对应的另一个密钥才能解密。

在实际使用中公钥是公开的, 任何人都可以拥有; 而与其对应的私钥是唯一的,只能由所有者保管、使用。

通过使用公开密钥技术, 我们可以实现身份认证,数保密等功能。

但是为了确保用户的身份及其所持有密钥的正确匹配, 我们需要一个值得信赖而且独立的第三方机构充当认证中心CA(CertificationAuthority) 来确认公钥拥有人的真正身份。

如同我们现实中使用的身份证一样, 认证中心发放一种叫"数字证书"的身份证明。

这个数字证书包含了用户身份的部分信息及用户所持有的公钥。

认证中心利用自己的私钥为每一个数字证书加上数字签名, 从而保证每个数字证书的权威性。

每个用户通过证书及唯一拥有的私钥, 就可以在互联网络中实现身份识。

1.1.2 PKI现状自1976年第一个正式的公共密钥加密算法诞生后，上世纪八十年代初期出现了非对称密钥密码体制，即公钥基础设施（PKI），但是前期一直处于探索发展阶段，直到最近几年，国外的PKI应用才开始快速的发展。

我国引入PKI已经有五六年时间，作为一项与电子商务电子政务的发展密切相关的信息安全的新技术和基础设施，PKI受到业界的青睐和关注，在短期内涌现了大批以PKI技术产品为主业的安全技术企业，PKI的概念和应用得到了一定范围的普及，PKI建设取得的一定成就。

引用中国金融认证中心总经理刘大隆的话是“奠定了技术基础，形成了一定的规模，积累了运营管理经验，探索了应用模式，培育了专业人才”。

然而，随着网络经济的回归理性，PKI建设也暴露了不少问题。

用一句话来描述PKI的现状与未来就是：前途是光明的，道路是曲折的。

1.1.3 PKI技术的匮乏众所周知, PKI公钥基础设施是目前比较成熟、完善的互联网络安全解决方案。

但PKI实施起来比较繁琐, 并且当前实现PKI 的商用软件价格较为昂贵, 这都阻碍了PKI 的广泛应用。

但是由于我国发展的晚，所以和发达国家在PKI方面的发展差距还很大。

尤其是在民用领域更是匮乏。

目前对CA的研究主要倾向于理论介绍，缺少对CA具体的应用研究，其中原因主要在于商业的认证中心在国内还不太成熟，向国外申请又太贵。

若用Windows 来自己建立CA中心，同样也主要是理论介绍，而且用Windows 建立的CA封装了其内部实现细节，不够灵活，可移植性差，而建立一个安全、灵活且具有实际应用价值的CA是实际搭建安全电子商务平台的核心。

EJBCA参照了Java安全解决方案，使用纯Java语言搭建的一个CA平台，从而可以做到跨平台使用，另外，EJBCA还集成了注册（RA）、证书发布等功能，基本实现了CA的全部功能。

1.2 PKI国内外研究现状与发展1.2.1 PKI在欧美的发展PKI是建立公钥加密技术基础之上的，PKI随着加密技术的发展而前进。

1976年，美国的密码学专家Diffie和Hellman提出了著名的D—H密钥分发体制，第一次解决了不依赖秘密信道的密钥分发问题，允许在不安全的媒体上双方交换信息，安全地获取相同的用于对称加密的密钥，公钥则在电话簿中公布。

1978年Kohnfelder提出了Certificate Agency(CA认证机构)的概念，在CA集中式管理的模式下，公钥以CA证书形式公布于目录库，私钥仍以秘密(物理)信道分发。

1991年相继出现了PGP、PEM，第一次提出密钥由个人生成的分散式体制，以不传递私钥的方式避开了秘密信道。

1996年出现SPKI解决方案。

PKI设立了CA认证中心，以第三方证明的方式将公钥和标识绑定，并创立了层次化CA架构。

美国作为最早提出PKI概念的国家，于1996年成立了美国联邦PKI筹委会，其PKI技术在世界上处于领先地位，与PKI相关的绝大部分标准都由美国制定。

2000年6月30日，美国总统克林顿正式签署美国《全球及全国商业电子签名法》，给予电子签名、数字证书以法律上的保护，这一决定使电子认证问题迅速成为各国政府关注的热点。

美国联邦政府的PKI体系建设形成了以下信任层次和信任域：·策略批准机构(PAA)：这是联邦PKI的根节点，负责批准二级节点的安全策略；·策略产生机构(PCA)：也叫策略认证机构，是联邦PKI的二级节点，定义下级产生公钥证书节点的安全策略；·认证机构(CA)：是联邦PKI的三级节点，依据PCA定义的安全策略，为下级用户(可能是下级CA)签发和维护数字证书、CRI‘结构等；·用户：数字证书及相应私有密钥的持有害，用户利用数字证书和私有密钥进行数据保护、身份鉴别等安全行为。

除上述层次外，联邦PKI体系还包含一个目录系统，用于存放有效证书和已经作废的证书。

美国联邦政府在研究各联邦政府已建成的PKI体系的基础之上，为解决各种不同认证系统之间的交叉认证问题，于1998年提出了桥接CA的概念，旨在解决了不同信任域之间的信息传递问题，避免形成信任孤岛。

加拿大在1993就已经开始了政府PKI体系雏形的研究工作，到2000年已在PKI体系方面获得重要的进展，已建成的政府PKI体系为联邦政府与公众机构、商业机构等进行电子数据交换时提供信息安全的保障，推动了政府内部管理电子化的进程。