EJBCA

EJBCA ou Enterprise JavaBeans Certificate Authority est une application de PKI – ou IGC, Infrastructure de gestion de clés – libre[1] et gratuite, développée et distribuée par l’entreprise suédoise PrimeKey[2] selon les méthodes de développement du logiciel libre/open source.

EJBCA

EJBCA 7.9.0.2 en français – Administration

Informations
Développé par	PrimeKey Solutions et contributeurs externes
Première version	5 décembre 2001
Dernière version	7.9.0.2 (16 juin 2022)
Dépôt	github.com/Keyfactor/ejbca-ce
État du projet	Développement actif
Écrit en	Java (Java EE)
Système d'exploitation	Multiplateforme
Environnement	Multiplate-forme
Langues	Multilingue (bs) (cs) (de) (en) (fr) (ja) (pt) (sv) (uk) (vi) (zh)
Type	Infrastructure de gestion de clés (IGC)
Licence	LGPL-2.1-or-later
Site web	www.ejbca.org

EJBCA – basé sur la librairie cryptographique CESeCore[3] – permet la mise en place d’une plate-forme d’IGC selon des architectures types basées sur des modèles de confiance hiérarchiques, à maillage ou passerelle.

Fonctionnalités

EJBCA propose les fonctionnalités[4] suivantes :

Multiple autorités de certification (AC) et niveaux d’AC subordonnées par instance
Support de toutes les architectures PKI courantes[5]
Génération de certificat en mode centralisé et décentralisé
Génération de certificat de manière individuelle ou par lot
Administration par Web Service, interface web ou interface en ligne de commande (CLI)
Support multilingue : allemand, anglais, bosniaque, chinois, français, japonais, portugais, suédois, tchèque, ukrainien, vietnamien, etc.
Gestion de profils de certificats
Gestion de profils d’entités finales
Gestion des certificats qualifiés et cartes d’identité eID
Plusieurs niveaux d’administrateurs par AC et par fonctions
API de support de HSM (Hardware Security Module, module de sécurité matériel)

Caractéristiques

Algorithmes asymétriques

ECC : plus de 50 courbes, dont les courbes du NIST (P-224, P-256, P-384, P-521), les courbes Brainpool, la courbe française FRP256v1[6], les courbes Curve25519 et Curve448 (en) (depuis EJBCA 7.4.0)
RSA : 1024, 1536, 2048, 3072, 4096, 6144, 8192 bits
DSA : 1024 bits

Fonctions de hachage

SHA-1
SHA-2 : SHA-224, SHA-256, SHA-384, SHA-512
SHA-3 : SHA3-256, SHA3-384, SHA3-512
GOST (fonction de hachage) (en) : GOST3411

Protocoles et standards

Certificats X.509 v3 et liste de révocation de certificats (CRL en anglais) v2 (RFC 5280[7])
Certificats CVC (Card Verifiable Certificate) pour les passeports électroniques (ICAO, Doc 9303 – Machine Readable Travel Documents (en) (MRTD))
Certificats qualifiés (ETSI eIDAS et RFC 3739[8])
OCSP (Online Certificate Status Protocol, protocole de validation, RFC 6960[9])
CMP (Certificate Management Protocol (en), protocole de gestion de certificats, RFC 4210[10])
EST (Enrollment over Secure Transport (en), protocole d’enrôlement de certificats, RFC 7030[11])
SCEP (Simple Certificate Enrollment Protocol, protocole d’enrôlement de certificats, Draft IETF)
ACME (Automatic Certificate Management Environment, protocole d’enrôlement de certificats serveurs (comme Let’s Encrypt), RFC 8555[12])
PKCS (Public Key Cryptographic Standards) : PKCS #1, PKCS #7, PKCS #9, PKCS #10, PKCS #11, PKCS #12
CT Logs (Certificate Transparency (en)[13], protocole de publication de certificats serveurs TLS, RFC 6962[14])
CAA (DNS Certification Authority Authorization, type d’enregistrement de ressource DNS pour autoriser les AC, RFC 6844[15])
CMS (Cryptographic Message Syntax (en), RFC 5652[16])
CRMF(Certificate Request Message Format (en), RFC 4211[17])
LDAP v3 (Lightweight Directory Access Protocol, RFC 4511[18])
Protocole 3GPP (i.e. LTE/4G) pour les périphériques mobiles, via le protocole CMP (Certificate Management Protocol)
PSD2 (Revised Payment Service Directive), conformité complète à la Directive sur les services de paiement 2 (DSP 2)

Entités

Autorité de certification (AC)
Autorité d’enregistrement (AE)
Gestionnaire de clés (séquestre et renouvellement)
Autorité d’enregistrement locale publique (AEL)
Serveur de validation OCSP interne ou externe
Service de validation de clés cryptographiques
Gestionnaire de cartes à puce et tokens USB cryptographiques
Service de journalisation sécurisé
Service de publication LDAP
Service de notification par courriel

Support applicatif et matériel

Serveurs d’applications : WildFly (version communautaire), JBoss EAP (avec support Red Hat)
Systèmes d’exploitation : GNU/Linux, Unix, FreeBSD, Solaris, Windows
Bases de données : PostgreSQL, MariaDB, MySQL, Oracle, DB2, MS-SQL, Hypersoniq, Derby, Sybase, Informix, Ingres
Annuaires LDAP : OpenLDAP, Active Directory, LDAPv3, Sun Directory Server
Modules HSM : nCipher netHSM, nCipher nShield, SafeNet Luna SA, SafeNet Luna PCI, SafeNet ProtectServer, Bull TrustWay Proteccio, Bull TrustWay CryptoBox, Bull TrustWay PCI Crypto Card, Utimaco R2, Utimaco SafeGuard CryptoServer, Utimaco CryptoServer CP5, I4P Trident HSM, Cavium Nitrox III, ARX CoSign, AEP Keyper
HSM dans le Cloud : AWS CloudHSM, Azure Key Vault
Cartes/tokens HSM : SmartCard-HSM, Nitrokey HSM, YubiHSM 2, OpenSC (générique)
Outils logiciels PKCS11 (en) : OpenSC (en), SoftHSM (en), PKCS11 Spy, Unbound Key Control (UKC)
Haute disponibilité et supervision

Certifications et conformité

Critères communs

EJBCA v7.4 a été certifié[19] conforme aux Critères communs (réf. : CSEC2019005)[20] le 16 avril 2021 selon le profil de protection collaboratif « Certification Authorities »[21] (PP4CA).

EJBCA v5.0 a été certifié[22] conforme aux Critères communs (réf. : ANSSI-CC-2012/47) le 4 octobre 2012 selon le profil de protection « Certificate Issuing and Management Components » (PP-CIMC : composants de gestion et d’émission de certificats), niveau EAL 4+.

La librairie CESeCore – cœur de sécurité d’EJBCA – a été certifiée[23] conforme aux Critères communs (réf. : ANSSI-CC-2012/33) le 14 juin 2012, niveau EAL 4+.

Référentiel général de sécurité

Les caractéristiques[4] d’EJBCA permettent – par paramétrage – d’avoir des instances conformes au Référentiel général de sécurité (RGS v2) de l’ANSSI (Agence nationale de la sécurité des systèmes d’information, administration française).

ETSI eIDAS

Les caractéristiques[4] de l’édition « Entreprise » d’EJBCA permettent – par paramétrage – d’avoir des instances pouvant être qualifiées selon la conformité européenne eIDAS (Electronic Identification and trust Services) de l’ETSI (European Telecommunications Standards Institute), c’est-à-dire selon le standard ETSI EN 319 411-2[24].

CA/Browser forum

EJBCA peut émettre des certificats serveurs TLS conformes aux exigences de base[25] du CA/Browser Forum (en)[26], ainsi que des certificats EV (Extended Validation, ou Certificat à validation étendue (en)) conformes aux recommandations EV[27] du CA/Browser Forum, et permet ainsi aux AC concernées d’être conformes aux « Root Program » des navigateurs web.

Notes et références

(en) https://www.ejbca.org/license.html
(en) https://www.primekey.se/
(en) https://www.cesecore.eu/
(en) https://www.ejbca.org/features.html
(en) https://www.ejbca.org/docs/EJBCA_Architecture.html
(fr) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024668816 Legifrance, JORF n° 0241 du 16 octobre 2011 page 17533, texte n° 30, “FRP256v1”
(en) Request for comments n^o 5280.
(en) Request for comments n^o 3739.
(en) Request for comments n^o 6960.
(en) Request for comments n^o 4210.
(en) Request for comments n^o 7030.
(en) Request for comments n^o 8555.
(en) https://www.certificate-transparency.org/
(en) Request for comments n^o 6962.
(en) Request for comments n^o 6844.
(en) Request for comments n^o 5652.
(en) Request for comments n^o 4211.
(en) Request for comments n^o 4511.
(en) https://www.commoncriteriaportal.org/files/epfiles/Certification%20Report%20-%20PrimeKey%20EJBCA.pdf Rapport de certification Critères communs
(en) https://www.commoncriteriaportal.org/files/epfiles/Certificate%20CCRA%20-%20PrimeKey.pdf Certificat CCRA (Common Criteria Recognition Arrangement)
(en) https://www.commoncriteriaportal.org/files/ppfiles/pp_ca_v2.1.pdf Profil de protection PP4CA
(en) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_47.pdf Rapport de certification Critères communs
(en) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_33.pdf Rapport de certification Critères communs
(en) https://www.etsi.org/deliver/etsi_en/319400_319499/31941102/02.02.02_60/en_31941102v020202p.pdf ETSI EN 319 411-2
(en) https://cabforum.org/baseline-requirements-documents/ Documents des exigences de base du CA/Browser forum
(en) https://cabforum.org/
(en) https://cabforum.org/extended-validation/ Documents des recommandations pour les certificats EV du CA/Browser forum

Annexes

Bibliographie

Christophe CACHAT et David CARELLA, PKI Open Source : Déploiement et administration, Paris, Éditions O’Reilly, 2003, 600 p. (ISBN 2-84177-235-7)

Articles connexes

Infrastructure à clés publiques
Certificat électronique
X.509 (format de certificat électronique)
Cryptographie asymétrique
Autorité de certification
Autorité d’enregistrement
Critères communs
Référentiel général de sécurité
European Telecommunications Standards Institute
eIDAS
Let’s Encrypt

Liens externes

Portail de la sécurité informatique
Portail des logiciels libres
Portail du logiciel
Portail de l’informatique

Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.

[1] (en) https://www.ejbca.org/license.html

[2] (en) https://www.primekey.se/

[3] (en) https://www.cesecore.eu/

[ejbca.org-4] (en) https://www.ejbca.org/features.html

[5] (en) https://www.ejbca.org/docs/EJBCA_Architecture.html

[6] (fr) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024668816 Legifrance, JORF n° 0241 du 16 octobre 2011 page 17533, texte n° 30, “FRP256v1”

[RFC-5280-7] (en) Request for comments n^o 5280.

[RFC-3739-8] (en) Request for comments n^o 3739.

[RFC-6960-9] (en) Request for comments n^o 6960.

[RFC-4210-10] (en) Request for comments n^o 4210.

[RFC-7030-11] (en) Request for comments n^o 7030.

[RFC-8555-12] (en) Request for comments n^o 8555.

[13] (en) https://www.certificate-transparency.org/

[RFC-6962-14] (en) Request for comments n^o 6962.

[RFC-6844-15] (en) Request for comments n^o 6844.

[RFC-5652-16] (en) Request for comments n^o 5652.

[RFC-4211-17] (en) Request for comments n^o 4211.

[RFC-4511-18] (en) Request for comments n^o 4511.

[19] (en) https://www.commoncriteriaportal.org/files/epfiles/Certification%20Report%20-%20PrimeKey%20EJBCA.pdf Rapport de certification Critères communs

[20] (en) https://www.commoncriteriaportal.org/files/epfiles/Certificate%20CCRA%20-%20PrimeKey.pdf Certificat CCRA (Common Criteria Recognition Arrangement)

[21] (en) https://www.commoncriteriaportal.org/files/ppfiles/pp_ca_v2.1.pdf Profil de protection PP4CA

[22] (en) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_47.pdf Rapport de certification Critères communs

[23] (en) https://www.commoncriteriaportal.org/files/epfiles/ANSSI-CC-2012_33.pdf Rapport de certification Critères communs

[24] (en) https://www.etsi.org/deliver/etsi_en/319400_319499/31941102/02.02.02_60/en_31941102v020202p.pdf ETSI EN 319 411-2

[25] (en) https://cabforum.org/baseline-requirements-documents/ Documents des exigences de base du CA/Browser forum

[26] (en) https://cabforum.org/

[27] (en) https://cabforum.org/extended-validation/ Documents des recommandations pour les certificats EV du CA/Browser forum