EJBCA - EJBCA

EJBCA
Banner ejbca-public.png
EJBCA 6.5.0 v angličtině - správa
EJBCA 6.5.0 v angličtině - správa
VývojářiPrimeKey Solutions AB
První vydání5. prosince 2001 (2001-12-05)
Stabilní uvolnění
7.4.3 / 9. listopadu 2020 (2020-11-09)
Úložiště
Upravte to na Wikidata
NapsánoJáva na Java EE
Operační systémCross-platform
K dispozici vBosenština, čínština, čeština, angličtina, francouzština, němčina, japonština, portugalština, švédština, ukrajinština, vietnamština
TypSoftware PKI
LicenceLGPL -2,1 nebo novější
webová stránkawww.ejbca.org Upravte to na Wikidata

EJBCA, je svobodný software infrastruktura veřejného klíče (PKI) certifikační autorita softwarový balíček udržovaný a sponzorovaný švédský pro zisk společnost PrimeKey Solutions AB, která je držitelem autorská práva na většinu kódové základny. Projekt je zdrojový kód je k dispozici za podmínek Malá obecná veřejná licence GNU.

Design

Systém je implementován v Java EE a navržen tak, aby byl nezávislý na platformě a plně shlukovací,[1] umožnit větší míru škálovatelnosti, než je typické pro podobné softwarové balíčky. Spouští se více instancí EJBCA současně se sdílením databáze obsahující aktuální certifikační autority (CA). To umožňuje každé instanci softwaru přístup k jakékoli CA. Tento software také podporuje použití a hardwarový bezpečnostní modul (HSM), který poskytuje další zabezpečení. Větší instalace by používaly více instancí EJBCA běžících na shluk, plně distribuovaná databáze na samostatném klastru a třetím klastru s HSM, které uchovávají různé klíče CA.

EJBCA podporuje mnoho běžných architektur PKI[2] například vše na jednom serveru, distribuované RA a externí ověřovací orgán. Níže je uvedena ukázková architektura.

Příklad architektury PKI s externím ověřovacím oprávněním

Klíčové vlastnosti

Více instancí CA.

EJBCA podporuje provozování neomezeného počtu CA a úrovní CA v jedné instalaci. Vybudujte kompletní infrastrukturu nebo několik v rámci jedné instance EJBCA.

Online protokol o stavu certifikátu

Pro ověření certifikátu máte na výběr použití X.509 CRL a OCSP (RFC6960 ).

Registrační orgán

Software EJBCA obsahuje samostatný Registrační orgán (RA) front-end, který může běžet na stejné instanci jako CA nebo distribuován jako externí RA. Komunikace mezi CA a RA používá pouze odchozí síťová připojení k izolaci CA od méně důvěryhodných sítí, kde je RA obvykle umístěna.

Více algoritmů

Ve svém PKI můžete použít všechny běžné a některé neobvyklé algoritmy. RSA, ECDSA, EdDSA, a DSA, SHA-1, SHA-2, a SHA-3. Vyhovuje Kryptografie NSA Suite B..

Různé formáty certifikátů

EJBCA podporuje obě X.509v 3 certifikáty a certifikáty ověřitelné kartou (CVC BSI TR-03110). Certifikáty jsou v souladu se všemi standardy, jako jsou RFC5280, Fórum CA / Prohlížeč, eIDAS, ICAO 9303, EAC 2.10 a ISO 18013 Změna 2 eDL.

PKCS # 11 HSM

Pomocí standardu PKCS 11 API můžete použít většinu HSM kompatibilních s PKCS # 11 k ochraně soukromých klíčů respondentů CA a OCSP.

Mnoho integračních protokolů a API

EJBCA byl navržen s ohledem na integraci. Většina standardních protokolů je podporována, CMP, SCEP, EST, a VRCHOL stejně jako webové služby. Pomocí integračních rozhraní API je možné integrovat EJBCA jako továrnu na certifikáty, aniž by byla vystavena jeho nativní uživatelská rozhraní.

Vysoký výkon a kapacita

Můžete vytvořit PKI s kapacitou vydávání miliard certifikátů rychlostí několik stovek za sekundu.

Reference

  1. ^ „Automatizované a rozsáhlé operace“.
  2. ^ „Architektury PKI“.

Další čtení

externí odkazy