Accueil🇫🇷Chercher

EJBCA

EJBCA ou Enterprise JavaBeans Certificate Authority est une application de PKI – ou IGC, Infrastructure de gestion de clés – libre[1] et gratuite, développée et distribuée par l’entreprise suédoise PrimeKey[2] selon les méthodes de développement du logiciel libre/open source.

EJBCA
Description de l'image Banner ejbca-public.png.
Description de cette image, également commentée ci-après
EJBCA 7.9.0.2 en français – Administration
Informations
Développé par PrimeKey Solutions et contributeurs externes
Première version
Dernière version 7.11.0 ()
DĂ©pĂ´t github.com/Keyfactor/ejbca-ce
État du projet Développement actif
Écrit en Java (Java EE)
Système d'exploitation Multiplateforme
Environnement Multiplate-forme
Langues Multilingue (bs) (cs) (de) (en) (fr) (ja) (pt) (sv) (uk) (vi) (zh)
Type Infrastructure de gestion de clés (IGC)
Licence LGPL-2.1-or-later
Site web www.ejbca.org

EJBCA – basé sur la librairie cryptographique CESeCore[3] – permet la mise en place d’une plate-forme d’IGC selon des architectures types basées sur des modèles de confiance hiérarchiques, à maillage ou passerelle.

Fonctionnalités

EJBCA propose les fonctionnalités[4] suivantes :

  • Multiple autoritĂ©s de certification (AC) et niveaux d’AC subordonnĂ©es par instance
  • Support de toutes les architectures PKI courantes[5]
  • GĂ©nĂ©ration de certificat en mode centralisĂ© et dĂ©centralisĂ©
  • GĂ©nĂ©ration de certificat de manière individuelle ou par lot
  • Administration par Web Service (SOAP, REST), interface web ou interface en ligne de commande (CLI)
  • Support multilingue : allemand, anglais, bosniaque, chinois, français, japonais, portugais, suĂ©dois, tchèque, ukrainien, vietnamien, etc.
  • Gestion de profils de certificats
  • Gestion de profils d’entitĂ©s finales
  • Gestion des certificats qualifiĂ©s et cartes d’identitĂ© eID
  • Plusieurs niveaux d’administrateurs par AC, par fonctions et par profils
  • Plusieurs types d’AC supportĂ©s (X.509, AC racine, AC subordonnĂ©e, CVC[6], SSH, ITS[7])
  • API de support de HSM (Hardware Security Module, module de sĂ©curitĂ© matĂ©riel)


Caractéristiques

Algorithmes asymétriques

  • ECC : plus de 50 courbes, dont les courbes du NIST (P-224, P-256, P-384, P-521), les courbes Brainpool, la courbe française FRP256v1[8], les courbes Curve25519 et Curve448 (en) (depuis EJBCA 7.4.0)
  • RSA : 1024, 1536, 2048, 3072, 4096, 6144, 8192 bits
  • DSA : 1024 bits

Fonctions de hachage

  • SHA-1
  • SHA-2 : SHA-224, SHA-256, SHA-384, SHA-512
  • SHA-3 : SHA3-256, SHA3-384, SHA3-512
  • GOST (fonction de hachage) (en) : GOST3411

Protocoles et standards

Entités

  • AutoritĂ© de certification (AC)
  • AutoritĂ© d’enregistrement (AE)
  • Gestionnaire de clĂ©s (sĂ©questre et renouvellement)
  • AutoritĂ© d’enregistrement locale publique (AEL)
  • Serveur de validation OCSP interne ou externe
  • Service de validation de clĂ©s cryptographiques
  • Service de journalisation sĂ©curisĂ©
  • Service de publication LDAP
  • Service de notification par courriel

Support applicatif et matériel

  • Serveurs d’applications : WildFly (version communautaire), JBoss EAP (avec support Red Hat)
  • Systèmes d’exploitation : GNU/Linux, Unix, FreeBSD, Solaris, Windows
  • Bases de donnĂ©es : PostgreSQL, MariaDB, MySQL, Oracle DB, IBM DB2, MS-SQL, Hypersoniq, Derby, Sybase, Informix, Ingres
  • Annuaires LDAP : OpenLDAP, Active Directory, LDAPv3, Sun Directory Server
  • Modules HSM[21] : nCipher netHSM, nCipher nShield, SafeNet Luna SA, SafeNet Luna PCI, SafeNet ProtectServer Gold, Thales Trusted Cyber Technologies (TCT) Luna SA, Bull TrustWay Proteccio, Bull TrustWay CryptoBox, Bull TrustWay PCI Crypto Card, Utimaco R2, Utimaco SafeGuard CryptoServer, Utimaco CryptoServer CP5, Securosys Primus HSM, I4P Trident HSM, Cavium Nitrox III, BlackVault HSM, ARX CoSign, AEP Keyper
  • HSM dans le Cloud : AWS CloudHSM, Azure Key Vault, Google Cloud Platform (GCP) KMS[22], Thales Data Protection on Demand (DPoD)[23], Securosys CloudsHSM[24], Fortanix Data Security Manager HSM
  • Cartes/tokens HSM : SmartCard-HSM, Nitrokey HSM, YubiHSM 2, OpenSC (gĂ©nĂ©rique)
  • Outils logiciels PKCS11 (en) : OpenSC (en), SoftHSM (en), PKCS11 Spy, Unbound Key Control (UKC)
  • Haute disponibilitĂ© et supervision


Certifications et conformité

Critères communs

EJBCA v7.4 a été certifié[25] conforme aux Critères communs (réf. : CSEC2019005)[26] le selon le profil de protection collaboratif « Certification Authorities »[27] (PP4CA).

EJBCA v5.0 a été certifié[28] conforme aux Critères communs (réf. : ANSSI-CC-2012/47) le selon le profil de protection « Certificate Issuing and Management Components » (PP-CIMC : composants de gestion et d’émission de certificats), niveau EAL 4+.

La librairie CESeCore – cœur de sécurité d’EJBCA – a été certifiée[29] conforme aux Critères communs (réf. : ANSSI-CC-2012/33) le , niveau EAL 4+.

Référentiel général de sécurité

Les caractéristiques[4] d’EJBCA permettent – par paramétrage – d’avoir des instances conformes au Référentiel général de sécurité (RGS v2) de l’ANSSI (Agence nationale de la sécurité des systèmes d’information, administration française).

ETSI eIDAS

Les caractĂ©ristiques[4] de l’édition « Entreprise Â» d’EJBCA permettent – par paramĂ©trage – d’avoir des instances pouvant ĂŞtre qualifiĂ©es selon la conformitĂ© europĂ©enne eIDAS (Electronic Identification and trust Services) de l’ETSI (European Telecommunications Standards Institute), c’est-Ă -dire selon le standard ETSI EN 319 411-2[30].

CA/Browser forum

EJBCA peut émettre des certificats serveurs TLS conformes aux exigences de base[31] du CA/Browser Forum (en)[32], ainsi que des certificats EV (Extended Validation, ou Certificat à validation étendue (en)) conformes aux recommandations EV[33] du CA/Browser Forum, et permet ainsi aux AC concernées d’être conformes aux « Root Program » des navigateurs web.


Notes et références

  1. (en) https://www.ejbca.org/license.html
  2. (en) https://www.primekey.se/
  3. (en) https://www.cesecore.eu/
  4. (en) https://www.ejbca.org/features.html
  5. (en) https://www.ejbca.org/docs/EJBCA_Architecture.html
  6. (en) https://doc.primekey.com/ejbca/ejbca-operations/ejbca-ca-concept-guide/certificate-authority-overview/cvc-ca Card Verifiable Certificates (CVC) CAs
  7. (en) https://doc.primekey.com/ejbca/ejbca-operations/ejbca-ca-concept-guide/certificate-authority-overview/c-its-eca-overview C-ITS (Cooperative Intelligent Transport Systems) PKI architecture and concepts
  8. (fr) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024668816 Legifrance, JORF n° 0241 du 16 octobre 2011 page 17533, texte n° 30, “FRP256v1”
  9. (en) Request for comments no 5280.
  10. (en) Request for comments no 3739.
  11. (en) Request for comments no 6960.
  12. (en) Request for comments no 4210.
  13. (en) Request for comments no 7030.
  14. (en) Request for comments no 8555.
  15. (en) https://www.certificate-transparency.org/
  16. (en) Request for comments no 6962.
  17. (en) Request for comments no 6844.
  18. (en) Request for comments no 5652.
  19. (en) Request for comments no 4211.
  20. (en) Request for comments no 4511.
  21. (en) https://doc.primekey.com/ejbca/ejbca-integration/hardware-security-modules-hsm#HardwareSecurityModules(HSM)-VendorSpecificInformation Liste des modules HSM supportés par EJBCA
  22. (fr) https://cloud.google.com/security-key-management Google Cloud Platform (GCP) KMS (Key Management Service)
  23. (en) https://cpl.thalesgroup.com/encryption/data-protection-on-demand Thales Data Protection on Demand (DPoD) HSM
  24. (en) https://www.securosys.com/primekey-ejbca Securosys Primus HSM or CloudsHSM
  25. (en) https://www.commoncriteriaportal.org/files/epfiles/Certification%20Report%20-%20PrimeKey%20EJBCA.pdf Rapport de certification Critères communs
  26. (en) https://www.commoncriteriaportal.org/files/epfiles/Certificate%20CCRA%20-%20PrimeKey.pdf Certificat CCRA (Common Criteria Recognition Arrangement)
  27. (en) https://www.commoncriteriaportal.org/files/ppfiles/pp_ca_v2.1.pdf Profil de protection PP4CA
  28. (en) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_47.pdf Rapport de certification Critères communs
  29. (en) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_33.pdf Rapport de certification Critères communs
  30. (en) https://www.etsi.org/deliver/etsi_en/319400_319499/31941102/02.02.02_60/en_31941102v020202p.pdf ETSI EN 319 411-2
  31. (en) https://cabforum.org/baseline-requirements-documents/ Documents des exigences de base du CA/Browser forum
  32. (en) https://cabforum.org/
  33. (en) https://cabforum.org/extended-validation/ Documents des recommandations pour les certificats EV du CA/Browser forum

Annexes

Bibliographie

  • Christophe CACHAT et David CARELLA, PKI Open Source : DĂ©ploiement et administration, Paris, Éditions O’Reilly, , 600 p. (ISBN 2-84177-235-7)

Articles connexes

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.