EJBCA

• ECC  : Mehr als 50 Kurven, die Kurven des NIST (P-224, P-256, P-384, P-521), die Brainpool-Kurven, die französische Kurve FRP256v1, die Kurven Curve25519 und Curve448  (en) (seit EJBCA 7.4 .0)
• RSA  : 1024, 1536, 2048, 3072, 4096, 6144, 8192 Bit
• DSA  : 1024 Bit

• SHA-1
• SHA-2  : SHA-224, SHA-256, SHA-384, SHA-512
• SHA-3  : SHA3-256, SHA3-384, SHA3-512
• GOST (Hash-Funktion)  (de)  : GOST3411

• X.509 v3 Zertifikate und Certificate Revocation List (CRL) v2 ( RFC  5280)
• CVC ( Card Verifiable Certificate ) Zertifikate für elektronische Reisepässe ( ICAO , Doc 9303 - Machine Readable Travel Documents  (en) (MRTD))
• Qualifizierte Zertifikate (ETSI eIDAS und RFC  3739)
• OCSP ( Online Certificate Status Protocol , Validierungsprotokoll, RFC  6960)
• CMP ( Certificate Management Protocol  (in) , Certificate Management Protocol, RFC  4210)
• EST ( Enrollment over Secure Transport  (en) , Certificate Enrollment Protocol, RFC  7030)
• SCEP ( Simple Certificate Enrollment Protocol , Draft IETF )
• ACME ( Automatic Certificate Management Environment , Serverzertifikat-Registrierungsprotokoll (wie Let's Encrypt ), RFC  8555)
• PKCS ( Kryptografische Standards mit öffentlichem Schlüssel ): PKCS # 1, PKCS # 7, PKCS # 9, PKCS # 10 , PKCS # 11, PKCS # 12
• CT-Protokolle ( Certificate Transparency  (en) , TLS Server Certificate Publication Protocol , RFC  6962)
• CAA ( DNS Certification Authority Authorization , eine Art von DNS-Ressourceneintrag zur Autorisierung von CAs , RFC  6844)
• CMS ( Kryptografische Nachrichtensyntax  (en) , RFC  5652)
• CRMF ( Certificate Request Message Format  (en) , RFC  4211)
• LDAP v3 ( Lightweight Directory Access Protocol , RFC  4511)
• 3GPP- Protokoll ( dh LTE / 4G) für mobile Geräte, über CMP (Certificate Management Protocol)
• PSD2 (Revised Payment Service Directive), vollständige Einhaltung der Zahlungsdiensterichtlinie 2 (DSP 2)

Entitäten

• Zertifizierungsstelle (CA)
• Registrierungsstelle (RA)
• Schlüsselmanager (Treuhand und Verlängerung)
• Lokale öffentliche Registrierungsbehörde (LRA)
• Interner oder externer OCSP-Validierungsserver
• Validierungsdienst für kryptografische Schlüssel
• Verwalten von Smartcards und USB - Token Verschlüsselungs
• Sicherer Protokollierungsdienst
• LDAP-Veröffentlichungsdienst
• E-Mail-Benachrichtigungsdienst

Anwendungs- und Hardware-Support

• Anwendungsserver: WildFly (Community-Version), JBoss EAP (mit Red Hat- Unterstützung )
• Betriebssysteme: GNU/Linux , Unix, FreeBSD, Solaris, Windows
• Datenbanken: PostgreSQL , MariaDB , MySQL , Oracle , DB2, MS-SQL, Hypersoniq, Derby, Sybase, Informix, Ingres
• Verzeichnisse LDAP  : OpenLDAP , Active Directory , LDAPv3, Sun Directory Server
• HSM- Module  : nCipher netHSM, nCipher nShield, SafeNet Luna SA, SafeNet Luna PCI, SafeNet ProtectServer, Bull TrustWay Proteccio, Bull TrustWay CryptoBox, Bull TrustWay PCI Crypto Card, Utimaco R2, Utimaco SafeGuard CryptoServer, Utimaco CryptoServer CP5, CavM4P Nitrox III, ARX CoSign, AEP-Keyper
• HSM in der Cloud  : AWS CloudHSM, Azure Key Vault
• HSM- Karten / Token  : SmartCard-HSM, Nitrokey HSM, YubiHSM 2, OpenSC (generisch)
• Softwaretools PKCS11  (in)  : OpenSC  (in) , SoftHSM  (in) , PKCS11 Spy Unbound Key Control (UKC)
• Hohe Verfügbarkeit und Überwachung

Zertifizierungen und Konformität

Gemeinsame Kriterien

EJBCA v7.4 wurde als konform mit den Common Criteria (Ref.: CSEC2019005) am certified zertifiziert16. April 2021gemäß dem kollaborativen Schutzprofil „  Zertifizierungsstellen  “ (PP4CA).

EJBCA v5.0 wurde nach den Common Criteria (Ref.: ANSSI-CC-2012/47) am . zertifiziert4. Oktober 2012gemäß dem Schutzprofil „  Certificate Issuing and Management Components  “ (PP-CIMC: Management Components and Issuing of Certificates), Level EAL 4+.

Die CESeCore-Bibliothek – das Sicherheitsherz von EJBCA – wurde nach den Common Criteria (Ref.: ANSSI-CC-2012/33) am zertifiziert14. Juni 2012, Stufe EAL 4+.

Allgemeines Sicherheitsdepot

Die Eigenschaften von EJBCA ermöglichen - durch Konfiguration - Instanzen, die der Allgemeinen Sicherheitsreferenz (RGS v2) der ANSSI (Nationale Agentur für die Sicherheit von Informationssystemen, französische Verwaltung) entsprechen.

ETSI-eIDAS

Die Eigenschaften der Ausgabe „Business“ von EJBCA ermöglichen - indem - Körper zu haben, qualifizierte sich als Europäische Konformität sein kann eIDAS ( E lectronic Id entifikations hat nd Vertrauen S ervice) des ETSI (European Telecommunications Standards Institute), dh nach die ETSI-Norm EN 319 411-2.

CA / Browserforum

EJBCA kann Serverzertifikate TLS ausstellen, die den grundlegenden Anforderungen der CA / Browser Forum  (in) entsprechen , sowie Zertifikate EV (Extended Validation oder Certificate Extended Validation  (in) ) gemäß den Empfehlungen EV CA / Browser Forum, und ermöglicht somit die betreffenden CAs, das „  Root-Programm  “ von Webbrowsern einzuhalten .

Hinweise und Referenzen

1. (de) https://www.ejbca.org/license.html
2. (de) https://www.primekey.se/
3. (de) https://www.cesecore.eu/
4. (en) https://www.ejbca.org/features.html
5. (de) https://www.ejbca.org/docs/EJBCA_Architecture.html
6. (fr) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024668816 Legifrance, JORF Nr. 0241 vom 16. Oktober 2011 Seite 17533, Text Nr. 30, „FRP256v1“
7. (in) Antrag auf Kommentare n o  5280 .
8. (in) Antrag auf Kommentare n o  3739 .
9. (in) Antrag auf Kommentare n o  6960 .
10. (in) Antrag auf Kommentare n o  4210 .
11. (in) Antrag auf Kommentare n o  7030 .
12. (in) Antrag auf Kommentare n o  8555 .
13. (de) https://www.certificate-transparency.org/
14. (in) Antrag auf Kommentare n o  6962 .
15. (in) Antrag auf Kommentare n o  6844 .
16. (in) Antrag auf Kommentare n o  5652 .
17. (in) Antrag auf Kommentare n o  4211 .
18. (in) Antrag auf Kommentare n o  4511 .
19. (in) https://www.commoncriteriaportal.org/files/epfiles/Certification%20Report%20-%20PrimeKey%20EJBCA.pdf Common Criteria-Zertifizierungsbericht
20. (en) https://www.commoncriteriaportal.org/files/epfiles/Certificate%20CCRA%20-%20PrimeKey.pdf Zertifikat FRAC (Common Criteria Recognition Arrangement)
21. (in) https://www.commoncriteriaportal.org/files/ppfiles/pp_ca_v2.1.pdf Schutzprofil PP4CA
22. (in) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_47.pdf Common Criteria-Zertifizierungsbericht
23. (in) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_33.pdf Common Criteria-Zertifizierungsbericht
24. (in) https://www.etsi.org/deliver/etsi_en/319400_319499/31941102/02.02.02_60/en_31941102v020202p.pdf ETSI EN 319 411-2
25. (in) https://cabforum.org/baseline-requirements-documents/ dokumentiert die grundlegenden Anforderungen des CA / Browser Forums
26. (de) https://cabforum.org/
27. (in) https://cabforum.org/extended-validation/ Dokumentiert Empfehlungen für EV-Zertifikate im CA / Browser Forum

Anhänge

Literaturverzeichnis

Zum Thema passende Artikel

• Public-Key-Infrastruktur
• Elektronisches Zertifikat
• X.509 (elektronisches Zertifikatsformat)
• Asymmetrische Kryptographie
• Zertifizierungsstelle
• Registrierungsbehörde
• Gemeinsame Kriterien
• Allgemeines Sicherheitsdepot
• Europäisches Institut für Telekommunikationsnormen
• eIDAS
• Lass uns verschlüsseln

Externe Links

• (de) EJBCA-Community-Site
• (de) EJBCA auf GitHub (Quellcode)
• (de) EJBCA auf SourceForge (Pakete)
• (de) EJBCA auf Docker Hub
• (in) Blog EJBCA
• (de) Kryptografische Bibliothek CESeCore
• (de) RFC  5280 [ 1 ] - Internet X.509 PKI-Zertifikat und CRL-Profil
• (fr) Common Criteria-Zertifikat EAL 4+ und EJBCA-Sicherheitsziel (ANSSI)

1. (in) Antrag auf Kommentare n o  5280 .