Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

EJBCA PKI. Yannick Quenec'hdu Reponsable BU Sécurité

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 10

EJBCA PKI

Yannick Quenec'hdu – Reponsable BU sécurité


EJBCA


EJBCA est une PKI (Public Key infrastructure) ou IGC
(Infrastructure de gestion de clés) sous licence
OpenSource (LGPL) développée en Java/J2EE.

EJBCA propose également
– un serveur OCSP
– un serveur d’horodatage

– un serveur de signature

Chaque composant peut être déployé de manière
autonome ou intégrée dans EJBCA.
Architecture fonctionnelle (1/4)
Architecture fonctionnelle (2/4)

EJBCA propose quatre composants fonctionnels
Chaque ou l’ensemble des composants fonctionnels peut être déployé de manière unitaire ou
consolidée sur une même machine ou dans une autre application.

➢ Entité publique ou autorité d’enregistrement locale (AEL)


Elle est composée d’éléments permettant de réaliser des requêtes de certificats, de révocation ou
pour récupérer des éléments publics de la PKI, tels les certificats d’AC, CRL, certificat utilisateur,
etc.

Les méthodes d’appel fournies par EJBCA sont les suivantes :

➢ Au format Web (AEL), par le biais de page à intégrer dans un intranet ou de manière
autonome
➢ Au format ligne de commande, permet en complément de réaliser des opérations
d’administrations
➢ Sous forme d’API Java WS (Jax-WS 2.0) à intégrer dans des composants métiers
➢ Avec le protocole XKMS (XML Key Management Specification)
➢ En utilisant CMP (Certificate Management Protocols)
➢ Par le biais du protocole SCEP pour les routeurs
Architecture fonctionnelle (3/4)

➢ Entité administrative ou Autorité d’enregistrement


Elle englobe les fonctions de gestion de la PKI, telles les fonctions d’authentification, de
gestion de vie des certificats, de journalisation, de publication et de paramétrages
de la PKI.
En complément, elle permet de définir le format des entités publiques et le contenu des
certificats. Les fonctions principales incluses dans l’AE :

➢ Gestion des profils de certificat et d’entité


➢ gestionnaire de clefs (séquestre et recouvrement)
➢ Définition du service de publication
➢ Gestion des administrateurs et des droits associés
➢ Gestion des profils pour les cartes à puce et Dongle USB
➢ Demande, rejet et Validation des requêtes de certificat et de révocation
➢ Processus de gestion du renouvellement
➢ Gestionnaire de journaux (paramétrage, consultation, export, etc.).
Architecture fonctionnelle (4/4)

➢ Autorité de la PKI ou Autorité de certification :


Elles sont responsables de la délivrance et de la révocation des certificats

➢ Une même instance peut gérer plusieurs AC racine et AC subordonnées


➢ Les clefs peuvent être conservées sur des boîtiers cryptographiques, sur carte à puce ou
dans la base de données

➢ Composants additionnels
Ces composants sont proposés en compléments de la PKI EJBCA, l’ensemble de leurs fonctionnalités
n’est pas décrit dans cette présentation
➢ Serveur de signature, permet de réaliser des opérations de signatures sur des documents
électroniques
➢ Serveur d’horodatage, garantir électroniquement la date et l’heure d’une opération
➢ Serveur OCSP, permet de fournir une réponse immédiate et à jour aux questions sur le statut
d’un certificat
Indépendance
EJBCA est indépendant des systèmes d’exploitation, des bases de
données ou des serveurs applicatifs.

➢ Il se déploie sur la plupart des systèmes Microsoft ou Unix, tels que


Linux, FreeBSD ou Solaris

➢ EJBCA fonctionne sur un serveur d’application, il est compatible avec les


grands produits du marché, tels JBOSS, JONAS, WebLogic, WebSphere

➢ EJBCA est compatible avec les bases de données supportées par les
serveurs d’applications, les bases suivantes sont supportées :
➢ MySQL
➢ Oracle ➢ Sysbase
➢ PostgreSQL ➢ Informix
➢ MS-SQL2000
Les normes et standards
EJBCA est développée au plus près des standards, il prend en charges
les préconisations de :

➢ l’IETF (Internet Engineering Task Force ) pour la partie X509v3 (certificats


numériques) et CRLv2, ainsi que les normes PKCS, SCEP. En complément,
EJBCA intègre CMP (Certificate Management Protocol) pour l’interopérabilité
avec les autres solutions de PKI.

➢ Le W3C (World Wide Web Consortium) pour les technologies orientées


architecture (SOA), tels XMLDsign (signature numérique) ou XKMS pour la
validation et l’enregistrement des certificats.

Le respect des standards garantit l'interopérabilité


Fonctionalités
Fonctionnalités

Multiple AC et niveau d'AC par instance
Entité
● Autorité de certification

Génération de certificat de manière individuel ● Autorité d'enregistrement
ou par lot ● Gestionnaire de clef (séqueste et renouvellement

Génération de certificat en mode centralisé si ● Autorité d'enregistrement publique
décentralisé ● Serveur OCSP (interne ou externe)

Administration par ligne de commande ou ● Serveur XKMS (interne)

interface Web ● Gestionnaire de Token



Support multilingue : Anglais, Français, ● Service de journalisation

espagnol, chinois, suédois, italient ● Service de publication



gestion des profils de certificats

gestion des profils d'entités

Plusieurs niveau d'administrateurs par AC et
par fonctions

API de suupport HSM

Protocole et standards Support



Certificat X.509 et CRLv2 (RFC3280 ● Serveur d'application : Jboss, WebSphere, Weblogic,

OCSP (protocole de validation – RFC2560) Jonas

XKMS (validation et enregistrement clef en XML) ● OS: Unix, Linux, Microsoft

● DB : Hypersonic, Mysql, PostGresql, Oracle, MS-SQL,



CMP (Protocole de gestion – RFC4210)

PKCS Sysbase, informix
● LDAP : Sun directory, OpenLDAP, Active directory,

Horodatage (RFC3261)

Certificat qualifiés (RFC3739) LDAPv3
● HSM ; Nicpher, safeNet, Chrysalis

SCEP
● Cluster et monitoring

CRM (RFC4211)

LDAP v3

Jax-WS 2.0
Merci de votre attention

www.ejbca.org

Vous aimerez peut-être aussi