EJBCA

• ECC  : Mais de 50 curvas, as curvas do NIST (P-224, P-256, P-384, P-521), as curvas Brainpool, a curva francesa FRP256v1, as curvas Curve25519 e Curve448  (en) (desde EJBCA 7.4 .0)
• RSA  : 1024, 1536, 2048, 3072, 4096, 6144, 8192 bits
• DSA  : 1024 bits

• SHA-1
• SHA-2  : SHA-224, SHA-256, SHA-384, SHA-512
• SHA-3  : SHA3-256, SHA3-384, SHA3-512
• GOST (função hash)  (en)  : GOST3411

• Certificados X.509 v3 e lista de revogação de certificados (CRL) v2 ( RFC  5280)
• Certificados CVC ( Card Verifiable Certificate ) para passaportes eletrônicos ( ICAO , Doc 9303 - Machine Readable Travel Documents  (en) (MRTD))
• Certificados qualificados (ETSI eIDAS e RFC  3739)
• OCSP ( protocolo de status de certificado online , protocolo de validação, RFC  6960)
• CMP ( protocolo de gerenciamento de certificado  (in) , protocolo de gerenciamento de certificado, RFC  4210)
• EST ( Enrollment over Secure Transport  (en) , Protocolo de inscrição de certificado, RFC  7030)
• SCEP ( protocolo de registro de certificado simples , rascunho IETF )
• ACME ( Automatic Certificate Management Environment , protocolo de inscrição de certificado de servidor (como Let's Encrypt ), RFC  8555)
• PKCS ( Padrões de criptografia de chave pública ): PKCS # 1, PKCS # 7, PKCS # 9, PKCS # 10 , PKCS # 11, PKCS # 12
• Registros de CT ( Transparência de certificado  (en) , protocolo de publicação de certificado de servidor TLS , RFC  6962)
• CAA ( DNS Certification Authority Authorization , um tipo de registro de recurso DNS para autorizar CAs , RFC  6844)
• CMS ( Sintaxe de mensagem criptográfica  (en) , RFC  5652)
• CRMF ( Formato de mensagem de solicitação de certificado  (en) , RFC  4211)
• LDAP v3 ( Lightweight Directory Access Protocol , RFC  4511)
• Protocolo 3GPP ( ou seja, LTE / 4G) para dispositivos móveis, via CMP (Protocolo de Gerenciamento de Certificado)
• PSD2 (Diretiva de Serviços de Pagamento Revisada), total conformidade com a Diretiva de Serviços de Pagamento 2 (DSP 2)

Entidades

• Autoridade de Certificação (CA)
• Autoridade de Registro (RA)
• Gerente de chave (garantia e renovação)
• Autoridade de Registro Público Local (LRA)
• Servidor de validação OCSP interno ou externo
• Serviço de validação de chave criptográfica
• Gerenciar cartões inteligentes e tokens USB criptográficos
• Serviço de registro seguro
• Serviço de publicação LDAP
• Serviço de notificação por email

Suporte a aplicativos e hardware

• Servidores de aplicativos: WildFly (versão da comunidade), JBoss EAP (com suporte Red Hat )
• Sistemas operacionais: GNU / Linux , Unix, FreeBSD, Solaris, Windows
• Bancos de dados: PostgreSQL , MariaDB , MySQL , Oracle , DB2, MS-SQL, Hypersoniq, Derby, Sybase, Informix, Ingres
• Diretórios LDAP  : OpenLDAP , Active Directory , LDAPv3, Sun Directory Server
• Módulos de HSM  : nCipher netHSM, nCipher nShield, SafeNet Luna SA, SafeNet Luna PCI, SafeNet ProtectServer, Bull TrustWay Proteccio, Bull TrustWay CryptoBox, Bull TrustWay PCI Crypto Card, Utimaco R2, Utimaco SafeGuard CryptoServer, Utimaco CryptoServer CP5 NRPit ARC CoSign, AEP Keyper
• HSM na nuvem  : AWS CloudHSM, Azure Key Vault
• Cartões / tokens HSM  : SmartCard-HSM, Nitrokey HSM, YubiHSM 2, OpenSC (genérico)
• Ferramentas de software PKCS11  (in)  : OpenSC  (in) , SoftHSM  (in) , PKCS11 Spy Unbound Key Control (UKC)
• Alta disponibilidade e supervisão

Certificações e conformidade

Critérios comuns

EJBCA v7.4 foi certificado como compatível com os critérios comuns (ref.: CSEC2019005) em16 de abril de 2021de acordo com a “  Certificação Autoridades  ” colaborativo perfil de protecção (PP4CA).

EJBCA v5.0 foi certificado como compatível com os critérios comuns (ref.: ANSSI-CC-2012/47) em4 de outubro de 2012de acordo com a “  Emissão de Certificados e componentes de gerenciamento  ” perfil de protecção (PP-CIMC: componentes de gerenciamento e emissão de certificados), nível EAL 4+.

A biblioteca CESeCore - o coração de segurança do EJBCA - foi certificada como compatível com os Critérios Comuns (ref.: ANSSI-CC-2012/33) em14 de junho de 2012, nível EAL 4+.

Repositório de segurança geral

As características do EJBCA permitem - por configuração - dispor de instâncias que cumpram o General Security Repository (RGS v2) da ANSSI (Agência Nacional para a Segurança dos Sistemas de Informação, administração francesa).

ETSI eIDAS

As características da edição de "Business" de EJBCA permitem - através da criação - ter corpos que podem ser qualificados como Europeia Conformidade eIDAS ( E lectronic Id entificação tem confiança nd S erviços) do ETSI (Instituto de Padrões de Telecomunicações Europeia), ou seja, de acordo com o padrão ETSI EN 319 411-2.

Fórum CA / navegador

EJBCA pode emitir certificados de servidor TLS em conformidade com os requisitos básicos do Fórum CA / Navegador  (in) , bem como certificados EV (Validação estendida ou Validação estendida de certificado  (in) ) em linha com as recomendações EV CA / Fórum do navegador e, portanto, permite as CAs preocupadas em cumprir o “  Programa Raiz  ” dos navegadores da web.

Notas e referências

1. (en) https://www.ejbca.org/license.html
2. (en) https://www.primekey.se/
3. (en) https://www.cesecore.eu/
4. (en) https://www.ejbca.org/features.html
5. (en) https://www.ejbca.org/docs/EJBCA_Architecture.html
6. (fr) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024668816 Legifrance, JORF n ° 0241 de 16 de outubro de 2011 página 17533, texto n ° 30, “FRP256v1”
7. (em) Request for comments n o  5280 .
8. (em) Request for comments n o  3739 .
9. (em) Request for comments n o  6960 .
10. (em) Request for comments n o  4210 .
11. (em) Request for comments n o  7030 .
12. (em) Request for comments n o  8555 .
13. (en) https://www.certificate-transparency.org/
14. (em) Request for comments n o  6962 .
15. (em) Request for comments n o  6844 .
16. (em) Request for comments n o  5652 .
17. (em) Request for comments n o  4211 .
18. (em) Request for comments n o  4511 .
19. (in) https://www.commoncriteriaportal.org/files/epfiles/Certification%20Report%20-%20PrimeKey%20EJBCA.pdf Relatório de certificação de critérios comuns
20. (en) https://www.commoncriteriaportal.org/files/epfiles/Certificate%20CCRA%20-%20PrimeKey.pdf Certificado FRAC (Common Criteria Recognition Arrangement)
21. (in) https://www.commoncriteriaportal.org/files/ppfiles/pp_ca_v2.1.pdf Perfil de proteção PP4CA
22. (in) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_47.pdf Relatório de certificação de critérios comuns
23. (in) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_33.pdf Relatório de certificação de critérios comuns
24. (in) https://www.etsi.org/deliver/etsi_en/319400_319499/31941102/02.02.02_60/en_31941102v020202p.pdf ETSI EN 319 411-2
25. (in) https://cabforum.org/baseline-requirements-documents/ documenta os requisitos básicos do CA / Browser Forum
26. (en) https://cabforum.org/
27. (in) https://cabforum.org/extended-validation/ Recomendações de documentos para certificados EV o CA / Fórum do navegador

Apêndices

Bibliografia

Artigos relacionados

• Infraestrutura de chave pública
• Certificado eletronico
• X.509 (formato de certificado eletrônico)
• Criptografia assimétrica
• Autoridade de Certificação
• Autoridade de registro
• Critérios comuns
• Repositório de segurança geral
• Instituto Europeu de Normas de Telecomunicações
• eIDAS
• Vamos criptografar

links externos

• (en) site da comunidade EJBCA
• (en) EJBCA no GitHub (código-fonte)
• (en) EJBCA no SourceForge (pacotes)
• (en) EJBCA no Docker Hub
• (in) Blog EJBCA
• (en) Biblioteca criptográfica CESeCore
• (en) RFC  5280 [ 1 ] - Certificado PKI Internet X.509 e Perfil CRL
• (fr) Certificado de Critérios Comuns EAL 4+ e alvo de segurança EJBCA (ANSSI)

1. (em) Request for comments n o  5280 .