EJBCA

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche
EJBCA
Description de l'image Banner ejbca-public.png.
Description de cette image, également commentée ci-après
EJBCA 6.5.0 en français – Administration
Informations
Développé par PrimeKey Solutions et contributeurs externes
Première version
Dernière version 7.3.0.1 ()
Dépôt svn.cesecore.eu/svn/ejbcaVoir et modifier les données sur Wikidata
État du projet Développement actif
Écrit en Java (Java EE)
Système d'exploitation MultiplateformeVoir et modifier les données sur Wikidata
Environnement Multiplate-forme
Langues Multilingue (bs) (cs) (de) (en) (fr) (ja) (pt) (sv) (uk) (vi) (zh)
Type Infrastructure de gestion de clés (IGC)
Licence LGPL-2.1-or-later
Site web www.ejbca.org

EJBCA ou Enterprise JavaBeans Certificate Authority est une application de PKI – ou IGC, Infrastructure de gestion de cléslibre[1] et gratuite, développée et distribuée par l’entreprise suédoise PrimeKey[2] selon les méthodes de développement du logiciel libre/open source.

EJBCA – basé sur la librairie cryptographique CESeCore[3] – permet la mise en place d’une plate-forme d’IGC selon des architectures types basées sur des modèles de confiance hiérarchiques, à maillage ou passerelle.

Fonctionnalités[modifier | modifier le code]

EJBCA propose les fonctionnalités[4] suivantes :

  • Multiple autorités de certification (AC) et niveaux d’AC subordonnées par instance
  • Support de toutes les architectures PKI courantes[5]
  • Génération de certificat en mode centralisé et décentralisé
  • Génération de certificat de manière individuelle ou par lot
  • Administration par Web Service, interface web ou interface en ligne de commande (CLI)
  • Support multilingue : allemand, anglais, bosniaque, chinois, français, japonais, portugais, suédois, tchèque, ukrainien, vietnamien, etc.
  • Gestion de profils de certificats
  • Gestion de profils d’entités finales
  • Gestion des certificats qualifiés et cartes d’identité eID
  • Plusieurs niveaux d’administrateurs par AC et par fonctions
  • API de support de HSM (Hardware Security Module, module de sécurité matériel)


Caractéristiques[modifier | modifier le code]

Primitives cryptographiques[modifier | modifier le code]

Algorithmes asymétriques[modifier | modifier le code]

  • RSA : 1024, 1536, 2048, 3072, 4096, 6144, 8192 bits
  • DSA : 1024 bits
  • ECDSA : 45 courbes, dont les courbes du NIST (P-224, P-256, P-384, P-521) et la courbe française FRP256v1[6]
  • ECDH : courbe Curve25519 (support expérimental en 2017)

Fonctions de hachage[modifier | modifier le code]

Protocoles et standards[modifier | modifier le code]

Entités[modifier | modifier le code]

  • Autorité de certification (AC)
  • Autorité d’enregistrement (AE)
  • Gestionnaire de clés (séquestre et renouvellement)
  • Autorité d’enregistrement locale publique (AEL)
  • Serveur de validation OCSP interne ou externe
  • Service de validation de clés cryptographiques
  • Gestionnaire de cartes à puce et tokens USB cryptographiques
  • Service de journalisation sécurisé
  • Service de publication LDAP
  • Service de notification par courriel

Support applicatif et matériel[modifier | modifier le code]

  • Serveurs d’applications : WildFly, JBoss, GlassFish
  • Systèmes d’exploitation : GNU/Linux, Unix, FreeBSD, Solaris, Windows
  • Bases de données : PostgreSQL, MariaDB, MySQL, Oracle, DB2, MS-SQL, Hypersoniq, Derby, Sybase, Informix, Ingres
  • Annuaires LDAP : OpenLDAP, Active Directory, LDAPv3, Sun Directory Server
  • Modules HSM : Thales/nCipher netHSM, Thales/nCipher nShield, SafeNet Luna SA, SafeNet Luna PCI, SafeNet ProtectServer, Bull TrustWay Proteccio, Bull TrustWay CryptoBox, Bull TrustWay PCI Crypto Card, Utimaco SafeGuard CryptoServer, Utimaco R2, Cavium Nitrox III, ARX CoSign, AEP Keyper
  • HSM dans le Cloud : AWS CloudHSM, Azure Key Vault
  • Outils PKCS11 (en) : SmartCard-HSM, OpenSC, SoftHSM, PKCS11 Spy
  • Haute disponibilité et supervision


Certifications et conformité[modifier | modifier le code]

Critères communs[modifier | modifier le code]

EJBCA a été certifié[19] selon les Critères communs, niveau EAL 4+, le conformément au profil de protection PP-CIMC « Certificate Issuing and Management Components » (composants de gestion et d’émission de certificats).

Référentiel général de sécurité[modifier | modifier le code]

Les caractéristiques[4] d’EJBCA permettent – par paramétrage – d’avoir des instances conformes au Référentiel général de sécurité (RGS v2) de l’ANSSI (Agence nationale de la sécurité des systèmes d’information, administration française).

ETSI eIDAS[modifier | modifier le code]

Les caractéristiques[4] de l’édition « Entreprise » d’EJBCA permettent – par paramétrage – d’avoir des instances pouvant être qualifiées selon la conformité européenne eIDAS (Electronic Identification and trust Services) de l’ETSI (European Telecommunications Standards Institute), c’est-à-dire selon le standard ETSI EN 319 411-2[20].

CA/Browser forum[modifier | modifier le code]

EJBCA peut émettre des certificats serveurs TLS conformes aux exigences de base[21] du CA/Browser forum (en)[22], ainsi que des certificats EV (Extended Validation, ou Certificat à validation étendue (en)) conformes aux recommandations EV[23] du CA/Browser forum.


Notes et références[modifier | modifier le code]

Annexes[modifier | modifier le code]

Bibliographie[modifier | modifier le code]

  • Christophe CACHAT et David CARELLA, PKI Open Source : Déploiement et administration, Paris, Éditions O’Reilly, , 600 p. (ISBN 2-84177-235-7)

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]