OpenXPKI - OpenXPKI

OpenXPKI
Vývojáři	Nadace OpenXPKI
Napsáno	Perl
Operační systém	Unixové operační systémy
Typ	Infrastruktura veřejného klíče
Licence	Licence Apache V 2.0
webová stránka	http://www.openxpki.org/

The OpenXPKI Cílem projektu je vytvořit podnikovou úroveň open-source PKI software. Flexibilita a modularita jsou klíčové cíle designu projektu.

Design

OpenXPKI je většinou napsán v Perl. Software je rozdělen na serverový proces a několik implementací klienta, které komunikují se serverem prostřednictvím Unixové doménové zásuvky.

Jednou z těchto implementací klienta je webové rozhraní, které umožňuje uživatelům přístup do systému OpenXPKI pomocí a webový prohlížeč. Jiný klient implementuje a SCEP serveru.

Server OpenXPKI se skládá hlavně z panelu nástrojů, který poskytuje jádro kryptografické funkce a pracovní tok motoru který umožňuje definovat pracovní toky implementující procesy PKI.

Klíčové vlastnosti

Více instancí CA.

OpenXPKI podporuje konfiguraci více nezávislých logických PKI (aka „PKI Realms“) v jedné instanci aplikace. To umožňuje konfiguraci e. G. kořenového CA a jednoho nebo více podřízených CA v rámci jedné instalace.

Plně automatické převrácení CA.

V rámci logické PKI (PKI Realm) OpenXPKI poskytuje možnost konfigurovat více vydávajících CA s překrývající se platností. Jakmile nový vydávající CA nabude platnosti, automaticky převezme vydávání nových certifikátů. Tato funkce umožňuje plně automatické obnovení CA, kde administrátoři nemusí sundávat a překonfigurovat celou instalaci PKI, jakmile brzy vyprší platnost certifikátu CA.

Workflow engine

OpenXPKI využívá a pracovní tok motoru který umožňuje upravit a rozšířit základní provoz PKI (např. žádost o certifikát a schválení). Přizpůsobení chování systému se často provádí úpravou popisu pracovního postupu ve formátu XML.

Modul pracovního postupu navíc umožňuje rozšířit systém o přizpůsobené pracovní postupy. OpenXPKI obsahuje některé standardní pracovní postupy, např. G. za vyžádání X.509 Digitální certifikáty a vydávání Seznamy zneplatněných certifikátů které lze snadno přizpůsobit pro modelování skutečných PKI procesy. Přidáním nových definic pracovních postupů je možné rozšířit systém PKI.^[1]

Ochrana klíčů infrastruktury

Chránit soukromé klíče z certifikační autorita a jeho subsystémy OpenXPKI nativně podporuje tajné sdílení přes Shamirovo tajné sdílení algoritmus.

Ještě vyšší úrovně zabezpečení lze dosáhnout ochranou soukromé klíče s hardwarový bezpečnostní modul. OpenXPKI aktuálně podporuje nChield nShield hardwarový bezpečnostní modul.

Integrace lístkových systémů

OpenXPKI poskytuje integrovanou integraci s Sledovač požadavků RT. Může automaticky vytvářet a propojovat lístky v jízdenkový systém pro příchozí žádosti o certifikát, a tak umožňuje úředníkům registrace sledovat jejich pracovní vytížení.

Internacionalizace

OpenXPKI plně podporuje Internacionalizace a lokalizace jeho rozhraní.

Alternativní kryptografie

Je možné rozšířit kryptografický backend pro non-západní kryptografii. Podpora ruských národních algoritmů (GOST ) jako příklad zahraniční kryptografie je již zahrnut.

Požadavky na systém

OpenXPKI běží na většině Unix -jako operační systémy (ověřeno dne FreeBSD, Linux, Solaris /OpenSolaris a Mac OS X ).Databáze backendy existují pro MySQL, PostgreSQL, Oracle Database a IBM DB2.

externí odkazy

Reference

^ Zajímavým příkladem je možnost přizpůsobení Čipové karty přes a samoobsluha webové rozhraní. Definice pracovního postupu pro tuto funkci bývala přizpůsobením pro konkrétní instalaci OpenXPKI a byla později přidána k hlavnímu produktu.

[1] Zajímavým příkladem je možnost přizpůsobení Čipové karty přes a samoobsluha webové rozhraní. Definice pracovního postupu pro tuto funkci bývala přizpůsobením pro konkrétní instalaci OpenXPKI a byla později přidána k hlavnímu produktu.

[1]