EJBCA

• ECC  : Több mint 50 görbe, a NIST görbéi (P-224, P-256, P-384, P-521), a Brainpool görbék, a francia FRP256v1 görbe, a Curve25519 és a Curve448  (en) görbék (az EJBCA 7.4 óta ) .0)
• RSA  : 1024, 1536, 2048, 3072, 4096, 6144, 8192 bit
• DSA  : 1024 bit

• SHA-1
• SHA-2  : SHA-224, SHA-256, SHA-384, SHA-512
• SHA-3  : SHA3-256, SHA3-384, SHA3-512
• GOST (hash függvény)  (en)  : GOST3411

• X.509 v3 tanúsítványok és tanúsítvány- visszavonási lista (CRL) v2 ( RFC  5280)
• CVC-igazolások ( Card Verifiable Certificate ) az elektronikus útlevelekhez ( ICAO , Doc 9303 - Géppel olvasható úti okmányok  (en) (MRTD))
• Minősített tanúsítványok (ETSI eIDAS és RFC  3739)
• OCSP ( Online Certificate Status Protocol , validációs protokoll, RFC  6960)
• CMP ( Certificate Management Protocol  (in) , Certificate Management Protocol, RFC  4210)
• EST ( Beiratkozás a biztonságos szállításhoz  (en) , Tanúsítvány-felvételi protokoll, RFC  7030)
• SCEP ( Simple Certificate Enrollment Protocol , IETF-tervezet )
• ACME ( Automatikus tanúsítványkezelő környezet , szerver tanúsítvány bejegyzési protokoll (például Let Encrypt ), RFC  8555)
• PKCS ( nyilvános kulcsú rejtjelezési szabványok ): PKCS # 1, PKCS # 7, PKCS # 9, PKCS # 10 , PKCS # 11, PKCS # 12
• CT naplók ( Tanúsítvány átlátszósága  (en) , TLS szerver tanúsítvány közzétételi protokoll , RFC  6962)
• CAA ( DNS-tanúsító hatóság engedélyezése , a CA-k engedélyezésére szolgáló DNS-erőforrásrekord típusa , RFC  6844)
• CMS ( kriptográfiai üzenet szintaxisa  (en) , RFC  5652)
• CRMF ( tanúsítványigénylő üzenet formátuma  (en) , RFC  4211)
• LDAP v3 ( Könnyű címtár-hozzáférési protokoll , RFC  4511)
• 3GPP protokoll ( azaz LTE / 4G) mobil eszközökhöz, CMP (Certificate Management Protocol) révén
• PSD2 (Felülvizsgált fizetési szolgáltatási irányelv), a fizetési szolgáltatásokról szóló irányelv 2 (DSP 2) teljes megfelelés

Entitások

• Tanúsító hatóság (CA)
• Nyilvántartási hatóság (RA)
• Kulcsmenedzser (letét és megújítás)
• Helyi Nyilvántartási Hatóság (LRA)
• Belső vagy külső OCSP ellenőrző szerver
• Kriptográfiai kulcs ellenőrzési szolgáltatás
• Az intelligens kártyák és az USB tokenek kriptográfiai kezelése
• Biztonságos naplózási szolgáltatás
• LDAP Publishing Service
• E-mail értesítési szolgáltatás

Alkalmazás és hardver támogatás

• Alkalmazásszerverek: WildFly (közösségi verzió), JBoss EAP ( Red Hat támogatással )
• Operációs rendszerek: GNU / Linux , Unix, FreeBSD, Solaris, Windows
• Adatbázisok: PostgreSQL , MariaDB , MySQL , Oracle , DB2, MS-SQL, Hypersoniq, Derby, Sybase, Informix, Ingres
• Könyvtárak LDAP  : OpenLDAP , Active Directory , LDAPv3, Sun Directory Server
• HSM modulok  : nCipher netHSM, nCipher nShield, SafeNet Luna SA, SafeNet Luna PCI, SafeNet ProtectServer, Bull TrustWay Proteccio, Bull TrustWay CryptoBox, Bull TrustWay PCI Crypto Card, Utimaco R2, Utimaco SafeGuard CryptoServer, Utervaco Cryptop5 CoSign, AEP Keyper
• HSM a felhőben  : AWS CloudHSM, Azure Key Vault
• HSM- kártyák / tokenek  : SmartCard-HSM, Nitrokey HSM, YubiHSM 2, OpenSC (általános)
• Szoftvereszközök PKCS11  (in)  : OpenSC  (in) , SoftHSM  (in) , PKCS11 Spy Unbound Key Control (UKC)
• Magas rendelkezésre állás és felügyelet

Tanúsítványok és megfelelés

Közös kritériumok

Az EJBCA v7.4 megfelel a Common Criteria (hivatkozási szám: CSEC2019005) szabványnak a2021. április 16a „  tanúsító hatóságok  ” együttműködési védelmi profil (PP4CA) szerint.

Az EJBCA v5.0 minősítést a Common Criteria (hivatkozási szám: ANSSI-CC-2012/47) megfelelőnek2012. október 4a „  Tanúsítványkibocsátó és -kezelő összetevők  ” védelmi profil szerint (PP-CIMC: menedzsmentkomponensek és tanúsítványok kiadása), EAL 4+ szint .

A CESeCore könyvtárat - az EJBCA biztonsági központját - a közös kritériumoknak (hivatkozási szám: ANSSI-CC-2012/33) megfelelőnek minősítették2012. június 14, EAL 4+ szint .

Általános biztonsági adattár

Az EJBCA jellemzői lehetővé teszik - konfiguráció szerint - olyan példányok meglétét, amelyek megfelelnek az ANSSI (Nemzeti Információs Rendszerbiztonsági Ügynökség, francia közigazgatás) általános biztonsági adattárának ( RGS v2 ).

ETSI eIDAS

A jellemzői a kiadás „Business” a EJBCA teszi - azáltal -, hogy olyan teste minősülnek European Conformity eIDAS ( E lectronic Id entification van nd bizalom S ervices) az ETSI (European Telecommunications Standards Institute), azaz szerint az ETSI EN 319 411-2 szabvány.

CA / Böngésző fórum

Az EJBCA kiállíthatja a szerver tanúsítványokat. A TLS megfelel az CA / Browser Forum  (in) alapvető követelményeinek , valamint az EV tanúsítványok (Extended Validation vagy Certificate Extended Validation  (in) ) az EV CA / Browser Forum ajánlásokkal összhangban, és így lehetővé teszi az érintett CA-k betartják a webböngészők „  Root Programját  ” .

Megjegyzések és hivatkozások

1. (en) https://www.ejbca.org/license.html
2. (en) https://www.primekey.se/
3. (en) https://www.cesecore.eu/
4. (en) https://www.ejbca.org/features.html
5. (en) https://www.ejbca.org/docs/EJBCA_Architecture.html
6. (fr) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024668816 Legifrance, JORF n ° 0241, 2011. október 16., 17533. oldal, 30. szám, „FRP256v1”
7. (a) Request for Comments n o  5280 .
8. (a) Request for Comments n o  3739 .
9. (in) Megjegyzések iránti kérelem, n o  6960 .
10. (in) Megjegyzések iránti kérelem, n o  4210 .
11. (a) Request for Comments n o  7030 .
12. (in) Megjegyzések iránti kérelem, n o  8555 .
13. (en) https://www.certificate-transparency.org/
14. (a) Request for Comments n o  6962 .
15. (a) Request for Comments n o  6844 .
16. (a) Request for Comments n o  5652 .
17. (in) Megjegyzések iránti kérelem, n o  4211 .
18. (a) Request for Comments n o  4511 .
19. (in) https://www.commoncriteriaportal.org/files/epfiles/Certification%20Report%20-%20PrimeKey%20EJBCA.pdf Common Criteria tanúsítási jelentés
20. (en) https://www.commoncriteriaportal.org/files/epfiles/Certificate%20CCRA%20-%20PrimeKey.pdf tanúsítvány FRAC (Common Criteria Recognition Arrangement)
21. (in) https://www.commoncriteriaportal.org/files/ppfiles/pp_ca_v2.1.pdf védelmi profil PP4CA
22. (in) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_47.pdf Common Criteria tanúsítási jelentés
23. (in) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_33.pdf Common Criteria tanúsítási jelentés
24. (in) https://www.etsi.org/deliver/etsi_en/319400_319499/31941102/02.02.02_60/en_31941102v020202p.pdf ETSI EN 319 411-2
25. (in) https://cabforum.org/baseline-requirements-documents/ dokumentálja a CA / Böngésző fórum alapvető követelményeit
26. (en) https://cabforum.org/
27. (in) https://cabforum.org/extended-validation/ Dokumentumok ajánlások az EV tanúsítványokhoz a CA / Böngésző fórum

Függelékek

Bibliográfia

Kapcsolódó cikkek

• Nyilvános kulcsú infrastruktúra
• Elektronikus tanúsítvány
• X.509 (elektronikus tanúsítvány formátum)
• Aszimmetrikus rejtjelezés
• Hitelesítésszolgáltató
• Nyilvántartási hatóság
• Közös kritériumok
• Általános biztonsági adattár
• Európai Távközlési Szabványügyi Intézet
• eIDAS
• Titkosítsuk

Külső linkek

• (en) EJBCA közösségi oldal
• (en) EJBCA a GitHubon (forráskód)
• (en) EJBCA a SourceForge-on (csomagok)
• (en) EJBCA a Docker Hub-on
• (in) Blog EJBCA
• (en) CESeCore kriptográfiai könyvtár
• (en) RFC  5280 [ 1 ] - Internet X.509 PKI tanúsítvány és CRL profil
• fr) Common Criteria Certificate EAL 4+ és EJBCA biztonsági cél (ANSSI)

1. (a) Request for Comments n o  5280 .