EJBCA创建Root CA（根证书）-Ⅱ

一、创建CA模板

1.首先使用你的管理员证书登录到管理后台，选择CA Functions下面的Certificate Profiles

2.在Name上面设置一个名称，注意要有区分度。然后点击Add

3.然后点击刚刚创建的配置文件的Edit（编辑）

4.Type一栏选择Root CA，Available Key Algorithms一栏选择RSA，Available Bit Lengths一栏选择4096 bits.

5.在X.509v3 extensions的部分里，取消勾选以下部分

• Authority Key ID

• Subject Alternative Name

• Issuer Alternative Name

6.在Other Data部分，取消勾选LDAP DN order

7.点击Save保存

二、创建密钥

1.首先使用你的管理员证书登录到管理后台，选择CA Functions下面的Crypto Tokens

2.点击Create new...

3.设置Name和密码（密码一定要记住）

然后点击Save

4.创建私钥，这里需要创建三个私钥。

名称：RootCaSignKey0001，Key：RSA 4096

名称：RootCaEncryptKey0001，Key：RSA 4096

名称：Testkey，Key：RSA 2048

注意：一次只能创建一个，你只需要重复创建私钥步骤创建3个即可

三、创建Root CA

1.在控制台上选择CA Functions下面的Certification Authorities

2.在Add CA一栏，填入CA的名称，点击Create

3.然后是配置Root CA

Crypto Token选择上一步创建的Crypto Token，选择之后，会自动加载配置。

特别注意defaultKey、keyEncryptKey应该是在上一步创建的私钥RootCaEncryptKey0001

certSignKey为上一步当中的RootCaSignKey0001

然后testKey就是上一步创建的Testkey

4.紧接着设置Subject DN

以下关键字段：

CN - 公用名（例如：GlobalSign）

O - 组织名（例如：GlobalSign）

C - 两位国家代码（例如CN-中国）

配置方法，CN=根证书名（你自己设置）,O=组织名,C=国家代码

例如：CN=EveryoneTrust Local Root CA,O=EveryoneTrust,C=CN

5.设置有效期Validity

有效期是指证书有效期，

25y代表25年，1mo代表1个月，1d代表1天，1h代表1小时，1m代表1分钟，1s代表1秒

可以组合设置，例如：25y6mo15d表示25年零6个月15天有效。

6.取消设置以下几个部分

最后点击Create，Root CA证书就创建好了。