EJBCA
EJBCA ou Enterprise JavaBeans Certificate Authority est une application de PKI – ou IGC, Infrastructure de gestion de clés – libre[1] et gratuite, développée et distribuée par l’entreprise suédoise PrimeKey[2] selon les méthodes de développement du logiciel libre/open source.
Développé par | PrimeKey Solutions et contributeurs externes |
---|---|
Première version | |
Dernière version | 7.11.0 () |
DĂ©pĂ´t | github.com/Keyfactor/ejbca-ce |
État du projet | Développement actif |
Écrit en | Java (Java EE) |
Système d'exploitation | Multiplateforme |
Environnement | Multiplate-forme |
Langues | Multilingue (bs) (cs) (de) (en) (fr) (ja) (pt) (sv) (uk) (vi) (zh) |
Type | Infrastructure de gestion de clés (IGC) |
Licence | LGPL-2.1-or-later |
Site web | www.ejbca.org |
EJBCA – basé sur la librairie cryptographique CESeCore[3] – permet la mise en place d’une plate-forme d’IGC selon des architectures types basées sur des modèles de confiance hiérarchiques, à maillage ou passerelle.
Fonctionnalités
EJBCA propose les fonctionnalités[4] suivantes :
- Multiple autorités de certification (AC) et niveaux d’AC subordonnées par instance
- Support de toutes les architectures PKI courantes[5]
- Génération de certificat en mode centralisé et décentralisé
- Génération de certificat de manière individuelle ou par lot
- Administration par Web Service (SOAP, REST), interface web ou interface en ligne de commande (CLI)
- Support multilingue : allemand, anglais, bosniaque, chinois, français, japonais, portugais, suédois, tchèque, ukrainien, vietnamien, etc.
- Gestion de profils de certificats
- Gestion de profils d’entités finales
- Gestion des certificats qualifiés et cartes d’identité eID
- Plusieurs niveaux d’administrateurs par AC, par fonctions et par profils
- Plusieurs types d’AC supportés (X.509, AC racine, AC subordonnée, CVC[6], SSH, ITS[7])
- API de support de HSM (Hardware Security Module, module de sécurité matériel)
Caractéristiques
Protocoles et standards
- Certificats X.509 v3 et liste de révocation de certificats (CRL en anglais) v2 (RFC 5280[9])
- Certificats CVC (Card Verifiable Certificate) pour les passeports électroniques (ICAO, Doc 9303 – Machine Readable Travel Documents (en) (MRTD))
- Certificats qualifiés (ETSI eIDAS et RFC 3739[10])
- OCSP (Online Certificate Status Protocol, protocole de validation, RFC 6960[11])
- SCP (Secure Copy Protocol, protocole de copie sécurisée), pour publier les CRL et les certificats d’AC
- CMP (Certificate Management Protocol (en), protocole de gestion de certificats, RFC 4210[12])
- EST (Enrollment over Secure Transport (en), protocole d’enrôlement de certificats, RFC 7030[13])
- SCEP (Simple Certificate Enrollment Protocol, protocole d’enrôlement de certificats, Draft IETF)
- ACME (Automatic Certificate Management Environment, protocole d’enrôlement de certificats serveurs (comme Let’s Encrypt), RFC 8555[14])
- PKCS (Public Key Cryptographic Standards) : PKCS #1, PKCS #7, PKCS #9, PKCS #10, PKCS #11, PKCS #12
- CT Logs (Certificate Transparency (en)[15], protocole de publication de certificats serveurs TLS, RFC 6962[16])
- CAA (DNS Certification Authority Authorization, type d’enregistrement de ressource DNS pour autoriser les AC, RFC 6844[17])
- CMS (Cryptographic Message Syntax (en), RFC 5652[18])
- CRMF(Certificate Request Message Format (en), RFC 4211[19])
- LDAP v3 (Lightweight Directory Access Protocol, RFC 4511[20])
- Protocole 3GPP (i.e. LTE/4G) pour les périphériques mobiles, via le protocole CMP (Certificate Management Protocol)
- PSD2 (Revised Payment Service Directive), conformité complète à la Directive sur les services de paiement 2 (DSP 2)
- C-ITS (Cooperative Intelligent Transport Systems), AE (autorité d’enrôlement) et sécurité V2X (Vehicle-to-anything communication)
Entités
- Autorité de certification (AC)
- Autorité d’enregistrement (AE)
- Gestionnaire de clés (séquestre et renouvellement)
- Autorité d’enregistrement locale publique (AEL)
- Serveur de validation OCSP interne ou externe
- Service de validation de clés cryptographiques
- Service de journalisation sécurisé
- Service de publication LDAP
- Service de notification par courriel
Support applicatif et matériel
- Serveurs d’applications : WildFly (version communautaire), JBoss EAP (avec support Red Hat)
- Systèmes d’exploitation : GNU/Linux, Unix, FreeBSD, Solaris, Windows
- Bases de données : PostgreSQL, MariaDB, MySQL, Oracle DB, IBM DB2, MS-SQL, Hypersoniq, Derby, Sybase, Informix, Ingres
- Annuaires LDAP : OpenLDAP, Active Directory, LDAPv3, Sun Directory Server
- Modules HSM[21] : nCipher netHSM, nCipher nShield, SafeNet Luna SA, SafeNet Luna PCI, SafeNet ProtectServer Gold, Thales Trusted Cyber Technologies (TCT) Luna SA, Bull TrustWay Proteccio, Bull TrustWay CryptoBox, Bull TrustWay PCI Crypto Card, Utimaco R2, Utimaco SafeGuard CryptoServer, Utimaco CryptoServer CP5, Securosys Primus HSM, I4P Trident HSM, Cavium Nitrox III, BlackVault HSM, ARX CoSign, AEP Keyper
- HSM dans le Cloud : AWS CloudHSM, Azure Key Vault, Google Cloud Platform (GCP) KMS[22], Thales Data Protection on Demand (DPoD)[23], Securosys CloudsHSM[24], Fortanix Data Security Manager HSM
- Cartes/tokens HSM : SmartCard-HSM, Nitrokey HSM, YubiHSM 2, OpenSC (générique)
- Outils logiciels PKCS11 (en) : OpenSC (en), SoftHSM (en), PKCS11 Spy, Unbound Key Control (UKC)
- Haute disponibilité et supervision
Certifications et conformité
Critères communs
EJBCA v7.4 a été certifié[25] conforme aux Critères communs (réf. : CSEC2019005)[26] le selon le profil de protection collaboratif « Certification Authorities »[27] (PP4CA).
EJBCA v5.0 a été certifié[28] conforme aux Critères communs (réf. : ANSSI-CC-2012/47) le selon le profil de protection « Certificate Issuing and Management Components » (PP-CIMC : composants de gestion et d’émission de certificats), niveau EAL 4+.
La librairie CESeCore – cœur de sécurité d’EJBCA – a été certifiée[29] conforme aux Critères communs (réf. : ANSSI-CC-2012/33) le , niveau EAL 4+.
Référentiel général de sécurité
Les caractéristiques[4] d’EJBCA permettent – par paramétrage – d’avoir des instances conformes au Référentiel général de sécurité (RGS v2) de l’ANSSI (Agence nationale de la sécurité des systèmes d’information, administration française).
ETSI eIDAS
Les caractéristiques[4] de l’édition « Entreprise » d’EJBCA permettent – par paramétrage – d’avoir des instances pouvant être qualifiées selon la conformité européenne eIDAS (Electronic Identification and trust Services) de l’ETSI (European Telecommunications Standards Institute), c’est-à -dire selon le standard ETSI EN 319 411-2[30].
CA/Browser forum
EJBCA peut émettre des certificats serveurs TLS conformes aux exigences de base[31] du CA/Browser Forum (en)[32], ainsi que des certificats EV (Extended Validation, ou Certificat à validation étendue (en)) conformes aux recommandations EV[33] du CA/Browser Forum, et permet ainsi aux AC concernées d’être conformes aux « Root Program » des navigateurs web.
Notes et références
- (en) https://www.ejbca.org/license.html
- (en) https://www.primekey.se/
- (en) https://www.cesecore.eu/
- (en) https://www.ejbca.org/features.html
- (en) https://www.ejbca.org/docs/EJBCA_Architecture.html
- (en) https://doc.primekey.com/ejbca/ejbca-operations/ejbca-ca-concept-guide/certificate-authority-overview/cvc-ca Card Verifiable Certificates (CVC) CAs
- (en) https://doc.primekey.com/ejbca/ejbca-operations/ejbca-ca-concept-guide/certificate-authority-overview/c-its-eca-overview C-ITS (Cooperative Intelligent Transport Systems) PKI architecture and concepts
- (fr) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024668816 Legifrance, JORF n° 0241 du 16 octobre 2011 page 17533, texte n° 30, “FRP256v1”
- (en) Request for comments no 5280.
- (en) Request for comments no 3739.
- (en) Request for comments no 6960.
- (en) Request for comments no 4210.
- (en) Request for comments no 7030.
- (en) Request for comments no 8555.
- (en) https://www.certificate-transparency.org/
- (en) Request for comments no 6962.
- (en) Request for comments no 6844.
- (en) Request for comments no 5652.
- (en) Request for comments no 4211.
- (en) Request for comments no 4511.
- (en) https://doc.primekey.com/ejbca/ejbca-integration/hardware-security-modules-hsm#HardwareSecurityModules(HSM)-VendorSpecificInformation Liste des modules HSM supportés par EJBCA
- (fr) https://cloud.google.com/security-key-management Google Cloud Platform (GCP) KMS (Key Management Service)
- (en) https://cpl.thalesgroup.com/encryption/data-protection-on-demand Thales Data Protection on Demand (DPoD) HSM
- (en) https://www.securosys.com/primekey-ejbca Securosys Primus HSM or CloudsHSM
- (en) https://www.commoncriteriaportal.org/files/epfiles/Certification%20Report%20-%20PrimeKey%20EJBCA.pdf Rapport de certification Critères communs
- (en) https://www.commoncriteriaportal.org/files/epfiles/Certificate%20CCRA%20-%20PrimeKey.pdf Certificat CCRA (Common Criteria Recognition Arrangement)
- (en) https://www.commoncriteriaportal.org/files/ppfiles/pp_ca_v2.1.pdf Profil de protection PP4CA
- (en) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_47.pdf Rapport de certification Critères communs
- (en) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_33.pdf Rapport de certification Critères communs
- (en) https://www.etsi.org/deliver/etsi_en/319400_319499/31941102/02.02.02_60/en_31941102v020202p.pdf ETSI EN 319 411-2
- (en) https://cabforum.org/baseline-requirements-documents/ Documents des exigences de base du CA/Browser forum
- (en) https://cabforum.org/
- (en) https://cabforum.org/extended-validation/ Documents des recommandations pour les certificats EV du CA/Browser forum
Annexes
Bibliographie
- Christophe CACHAT et David CARELLA, PKI Open Source : Déploiement et administration, Paris, Éditions O’Reilly, , 600 p. (ISBN 2-84177-235-7)
Articles connexes
- Infrastructure à clés publiques
- Certificat Ă©lectronique
- X.509 (format de certificat Ă©lectronique)
- Cryptographie asymétrique
- Autorité de certification
- Autorité d’enregistrement
- Critères communs
- Référentiel général de sécurité
- European Telecommunications Standards Institute
- eIDAS
- Let’s Encrypt
Liens externes
- (en) Site communautaire d’EJBCA
- (en) EJBCA sur GitHub (code source)
- (en) EJBCA sur SourceForge (packages)
- (en) EJBCA sur Docker Hub
- (en) Blog sur EJBCA
- (en) Librairie cryptographique CESeCore
- (en) RFC 5280 - Internet X.509 PKI Certificate and CRL Profile
- (en) Common Criteria Certificate (2021) for EJBCA Enterprise 7.4.1.1
- (fr) Certificat Critères Communs EAL 4+ (2012) et cible de sécurité d’EJBCA 5.0.4 (ANSSI)