EJBCA
EJBCA
EJBCA 6.5.0 in francese - Amministrazione
| Sviluppato da | PrimeKey Solutions e collaboratori esterni |
|---|---|
| Prima versione | 5 dicembre 2001 |
| Ultima versione | 7.4.3.2 (29 marzo 2021) |
| Depositare | github.com/primekeydevs/ejbca-ce |
| Stato del progetto | Sviluppo attivo |
| Scritto in | Java ( Java EE ) |
| Sistema operativo | Multi piattaforma |
| Ambiente | Multipiattaforma |
| Le lingue | Multilingue (bs) (cs) (de) (en) (fr) (ja) (pt) (sv) (uk) (vi) (zh) |
| genere | Infrastruttura di gestione delle chiavi (PKI) |
| Licenza | LGPL -2.1 o successivo |
| Sito web | www.ejbca.org |
EJBCA o Enterprise JavaBeans Certificate Authority è un'applicazione di PKI - o PKI, infrastruttura di gestione delle chiavi - libera e gratuita, sviluppata e distribuita dalla società svedese PrimeKey secondo le modalità di sviluppo del software libero / open source .
EJBCA - basato sulla libreria crittografica CESeCore - consente l'implementazione di una piattaforma PKI secondo architetture tipiche basate su modelli di trust gerarchici, mesh o gateway.
Caratteristiche
EJBCA offre le seguenti funzionalità:
- Più autorità di certificazione (CA) e livelli di CA subordinati per istanza
- Supporto per tutte le architetture PKI comuni
- Generazione di certificati in modalità centralizzata e decentralizzata
- Generazione di certificati singoli o in batch
- Amministrazione tramite Web Service , interfaccia Web o interfaccia a riga di comando (CLI)
- Supporto multilingue: tedesco, inglese, bosniaco, cinese, francese, giapponese, portoghese, svedese, ceco, ucraino, vietnamita, ecc.
- Gestire i profili dei certificati
- Gestione dei profili delle entità finali
- Gestione di certificati qualificati e carte d'identità eID
- Diversi livelli di amministratori per CA e per funzione
- Supporto API HSM ( Modulo di sicurezza hardware, modulo di sicurezza hardware)
Caratteristiche
Primitive crittografiche
Algoritmi asimmetrici- ECC : Più di 50 curve, le curve del NIST (P-224, P-256, P-384, P-521), le curve Brainpool, la curva francese FRP256v1, le curve Curve25519 e Curve448 (en) (da EJBCA 7.4 .0)
- RSA : 1024, 1536, 2048, 3072, 4096, 6144, 8192 bit
- DSA : 1024 bit
- SHA-1
- SHA-2 : SHA-224, SHA-256, SHA-384, SHA-512
- SHA-3 : SHA3-256, SHA3-384, SHA3-512
- GOST (funzione hash) (en) : GOST3411
- Certificati X.509 v3 ed elenco di revoche di certificati (CRL) v2 ( RFC 5280)
- Certificati CVC ( Card Verifiable Certificate ) per passaporti elettronici ( ICAO , Doc 9303 - Machine Readable Travel Documents (en) (MRTD))
- Certificati qualificati (ETSI eIDAS e RFC 3739)
- OCSP ( Protocollo di stato del certificato online , protocollo di convalida, RFC 6960)
- CMP ( Protocollo di gestione dei certificati (in) , Protocollo di gestione dei certificati, RFC 4210)
- EST ( Iscrizione su trasporto sicuro (en) , Protocollo di registrazione certificati, RFC 7030)
- SCEP ( Protocollo di registrazione dei certificati semplice , bozza IETF )
- ACME ( ambiente di gestione automatica dei certificati , protocollo di registrazione dei certificati del server (come Let's Encrypt ), RFC 8555)
- PKCS ( Standard crittografici a chiave pubblica ): PKCS n. 1, PKCS n. 7, PKCS n. 9, PKCS n. 10 , PKCS n. 11, PKCS n. 12
- CT Logs ( Certificate Transparency (en) , Protocollo di pubblicazione del certificato del server TLS , RFC 6962)
- CAA ( DNS Certification Authority Authorization , un tipo di record di risorse DNS per autorizzare le CA , RFC 6844)
- CMS ( Sintassi dei messaggi crittografici (en) , RFC 5652)
- CRMF ( formato messaggio richiesta certificato (en) , RFC 4211)
- LDAP v3 ( Protocollo di accesso alla directory leggero , RFC 4511)
- Protocollo 3GPP ( ovvero LTE/4G) per dispositivi mobili, tramite CMP (Certificate Management Protocol)
- PSD2 (Revised Payment Service Directive), piena conformità alla Direttiva sui Servizi di Pagamento 2 (DSP 2)
Entità
- Autorità di certificazione (CA)
- Autorità di registrazione (RA)
- Key manager (impegno e rinnovo)
- Autorità di registrazione pubblica locale (LRA)
- Server di convalida OCSP interno o esterno
- Servizio di convalida delle chiavi crittografiche
- Gestire smart card e token USB crittografici
- Servizio di registrazione sicuro
- Servizio di pubblicazione LDAP
- Servizio di notifica e-mail
Supporto per applicazioni e hardware
- Server applicazioni: WildFly (versione community), JBoss EAP (con supporto Red Hat )
- Sistemi operativi: GNU/Linux , Unix, FreeBSD, Solaris, Windows
- Database: PostgreSQL , MariaDB , MySQL , Oracle , DB2, MS-SQL, Hypersoniq, Derby, Sybase, Informix, Ingres
- Directory LDAP : OpenLDAP , Active Directory , LDAPv3, Sun Directory Server
- Moduli HSM : nCipher netHSM, nCipher nShield, SafeNet Luna SA, SafeNet Luna PCI, SafeNet ProtectServer, Bull TrustWay Proteccio, Bull TrustWay CryptoBox, Bull TrustWay PCI Crypto Card, Utimaco R2, Utimaco SafeGuard CryptoServer, Utimaco CryptoServer CP5, CavM4P Nitrox III, ARX CoSign, AEP Keyper
- HSM nel cloud : AWS CloudHSM, Azure Key Vault
- Schede / gettoni HSM : SmartCard-HSM, Nitrokey HSM, YubiHSM 2, OpenSC (generico)
- Strumenti software PKCS11 (in) : OpenSC (in) , SoftHSM (in) , PKCS11 Spy Unbound Key Control (UKC)
- Alta disponibilità e supervisione
Certificazioni e conformità
Criteri comuni
EJBCA v7.4 è stato certificato come conforme ai Common Criteria (rif.: CSEC2019005) su16 aprile 2021secondo la “ Certificazione Autorità ” collaborativo profilo di protezione (PP4CA).
EJBCA v5.0 è stato certificato come conforme ai Common Criteria (rif.: ANSSI-CC-2012/47) su4 ottobre 2012secondo il profilo di protezione “ Certificati Issuing and Management Components ” (PP-CIMC: componenti di gestione ed emissione di certificati), livello EAL 4+.
La libreria CESeCore - il cuore della sicurezza di EJBCA - è stata certificata conforme ai Common Criteria (rif.: ANSSI-CC-2012/33) il14 giugno 2012, livello EAL 4+.
Archivio di sicurezza generale
Le caratteristiche di EJBCA consentono - per configurazione - di avere istanze conformi al General Security Repository (RGS v2) dell'ANSSI (Agenzia nazionale per la sicurezza dei sistemi informativi, amministrazione francese).
ETSI eIDAS
Le caratteristiche della versione "Business" di EJBCA permettono - impostando - di avere corpi che possono essere qualificati come Conformità Europea eIDAS ( E lectronic Id entificazione ha fiducia ° S ervizi) del ETSI (European Telecommunications Standards Institute), vale a dire in base alle la norma ETSI EN 319 411-2.
CA/Forum browser
EJBCA può emettere certificati server TLS conformi ai requisiti di base del CA / Browser Forum (in) , nonché certificati EV (Extended Validation o certificate Extended Validation (in) ) in linea con le raccomandazioni EV CA / Browser Forum, e quindi consente le CA interessate a conformarsi al “ Root Program ” dei browser web.
Note e riferimenti
- (en) https://www.ejbca.org/license.html
- (en) https://www.primekey.se/
- (it) https://www.cesecore.eu/
- (en) https://www.ejbca.org/features.html
- (en) https://www.ejbca.org/docs/EJBCA_Architecture.html
- (fr) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024668816 Legifrance, JORF n° 0241 del 16 ottobre 2011 pagina 17533, testo n° 30, “FRP256v1”
- (in) Richiesta di commenti n o 5280 .
- (in) Richiesta di commenti n o 3739 .
- (in) Richiesta di commenti n . 6960 .
- (in) Request for Comments n o 4210 .
- (in) Richiesta di commenti n o 7030 .
- (in) Richiesta di commenti n . 8555 .
- (en) https://www.certificate-transparency.org/
- (in) Richiesta di commenti n o 6962 .
- (in) Richiesta di commenti n o 6844 .
- (in) Richiesta di commenti n . 5652 .
- (in) Richiesta di commenti n o 4211 .
- (in) Richiesta di commenti n . 4511 .
- (in) https://www.commoncriteriaportal.org/files/epfiles/Certification%20Report%20-%20PrimeKey%20EJBCA.pdf Common Criteria Certification Report
- (en) https://www.commoncriteriaportal.org/files/epfiles/Certificate%20CCRA%20-%20PrimeKey.pdf Certificato FRAC (Common Criteria Recognition Arrangement)
- (in) https://www.commoncriteriaportal.org/files/ppfiles/pp_ca_v2.1.pdf Profilo di protezione PP4CA
- (in) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_47.pdf Common Criteria Certification Report
- (in) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_33.pdf Common Criteria Certification Report
- (in) https://www.etsi.org/deliver/etsi_en/319400_319499/31941102/02.02.02_60/en_31941102v020202p.pdf ETSI EN 319 411-2
- (in) https://cabforum.org/baseline-requirements-documents/ documenta i requisiti di base del CA / Browser Forum
- (it) https://cabforum.org/
- (in) https://cabforum.org/extended-validation/ Documenta le raccomandazioni per i certificati EV il CA / Browser Forum
Appendici
Bibliografia
Articoli Correlati
- Infrastruttura a chiave pubblica
- Certificato elettronico
- X.509 (formato certificato elettronico)
- Crittografia asimmetrica
- Autorità di certificazione
- Autorità di registrazione
- Criteri comuni
- Archivio di sicurezza generale
- Istituto europeo per gli standard delle telecomunicazioni
- eIDAS
- Criptiamo
link esterno
- (it) Sito della comunità EJBCA
- (it) EJBCA su GitHub (codice sorgente)
- (it) EJBCA su SourceForge (pacchetti)
- (it) EJBCA su Docker Hub
- (in) Blog EJBCA
- (it) Libreria crittografica CESeCore
- (it) RFC 5280 [ 1 ] - Certificato Internet X.509 PKI e profilo CRL
- (fr) Certificato Common Criteria EAL 4+ e target di sicurezza EJBCA (ANSSI)