EJBCA Le futur de la PKI



Documents pareils
EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Les infrastructures de clés publiques (PKI, IGC, ICP)

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

La sécurité des Réseaux Partie 7 PKI

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

Tutorial Authentification Forte Technologie des identités numériques

Groupe Eyrolles, 2004 ISBN :

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

Du 03 au 07 Février 2014 Tunis (Tunisie)

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

Services de Confiance numérique en Entreprise Conférence EPITA 27 octobre 2008

Groupe Eyrolles, 2004 ISBN :

Le moteur de workflow JBPM

Bruno BONFILS. Ingénieur systèmes, réseaux et sécurité

ScTools Outil de personnalisation de carte

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Les certificats numériques

La renaissance de la PKI L état de l art en 2006

La citadelle électronique séminaire du 14 mars 2002

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Groupe Eyrolles, 2006, ISBN : X

TUNIS LE : 20, 21, 22 JUIN 2006

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

Livre blanc sur l authentification forte

Cadre de Référence de la Sécurité des Systèmes d Information

TheGreenBow IPsec VPN Client. Guide de Déploiement Options PKI. Site web: Contact:

EJBCA PKI Open Source

Evidian IAM Suite 8.0 Identity Management

La gestion des identités au CNRS Le projet Janus

PaperCut MF. une parfaite maîtrise de vos impressions, copies et scans.

Sécurisation des architectures traditionnelles et des SOA

PortWise Access Management Suite

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

CAHIER DES CLAUSES TECHNIQUES

OpenVPN Manager. Projet M2-ESECURE - Robin BUREL. Date 10 Janvier 2013 Tuteur : M. Richard

Guide de mise en œuvre d une authentification forte avec une Carte de Professionnel de Santé (CPS) dans une application Web

30 ans d ingénierie, 23 ans de conseil en architecture de SI

Licence professionnelle Réseaux et Sécurité Projets tutorés

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Politique de certification et procédures de l autorité de certification CNRS

Public Key Infrastructure (PKI)

Présentation SafeNet Authentication Service (SAS) Octobre 2013

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Hassene BELGACEM. Expériences Professionnelles. JEE architect / Technical leader. Ingénieur Informatique. Cycle Préparatoire

Intégrer le chiffrement et faciliter son intégration dans votre entreprise!

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2).

Sécurité des réseaux sans fil

Table des matières. Chapitre 1 Les architectures TSE en entreprise

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Solutions Microsoft Identity and Access

Les tableaux de bord de pilotage de nouvelle génération. Copyright PRELYTIS

Urbanisme du Système d Information et EAI

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Protocole industriels de sécurité. S. Natkin Décembre 2000

PRIMAVERA P6 ENTERPRISE PROJECT PORTFOLIO MANAGEMENT WEB SERVICES

Technologies du Web. Créer et héberger un site Web. Pierre Senellart. Page 1 / 26 Licence de droits d usage

M F. Consultante Moe / Support. Finance de Marché

Introduction à Sign&go Guide d architecture

Solution Intranet collaboratif

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

DLTA Deploy. Une offre unique de gestion de flotte mobile pour iphone, ipad & ipod touch. La solution de gestion de flotte mobile pour ios

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

Gestion des utilisateurs dans un environnement hétérogène

OpenLDAP : retour d expérience sur l industrialisation d annuaires critiques

Errata partie 2 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

Offre LinShare. Présentation. Février Partage de fichiers sécurisé. LinShare 1.5

Linux Expo Gestion des Identités et des Accès. Le 16 mars Arismore

SSL ET IPSEC. Licence Pro ATC Amel Guetat

La sécurité dans les grilles

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

Catalogue des Formations Techniques

Chapitre 2 Rôles et fonctionnalités

2008 : Diplômé Master 2 ASR (Architecture Système et Réseaux) Université d Evry (Evry - 91)

LANDPARK ACTIVE DIRECTORY OPEN/LDAP

LEADER DES SOLUTIONS D AUTHENTIFICATION FORTE

L'automatisation open source pour SI complexes

La haute disponibilité de la CHAINE DE

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

iphone et ipad en entreprise Scénarios de déploiement

Infrastructure à Clé Publique (PKI Public Key Infrastructure)

Windows (2000/NT), Solaris, AIX, HP-UX, Linux Haute disponibilité : SunCluster 3, Veritas Cluster Server 4. J2EE (JSP, Servlet, EJB, JTA), Open Source

Version 2.2. Version 3.02

Parcours en deuxième année

TOPOLOGIES des RESEAUX D ADMINISTRATION

e-leasevision Votre solution de gestion complète de la LLD avec cotation en ligne intégrée

NOVA BPM. «Première solution BPM intégr. Pierre Vignéras Bull R&D

Architecture et infrastructure Web

Introduction à la gestion d identité. Bruno Bonfils <asyd@asyd.net> RMLL, 10 Juillet 2009

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

Eléments d architecture technique Jalios JCMS 8.0

Hébergement de sites Web

APPEL D OFFRES PRESTATION ARCHITECTE IDENTITY ACCESS MANAGMENT DSI PAP DOCUMENT DE CONSULTATION 14 OCTOBRE 2014

NORMES TECHNIQUES POUR UNE INTEROPERABILITE DES CARTES D IDENTITE ELECTRONIQUES

Les annuaires LDAP et leurs applications Introduction

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

Mettre en place un accès sécurisé à travers Internet

Transcription:

EJBCA Le futur de la PKI

EJBCA EJBCA c'est quoi? EJBCA est une PKI (Public Key infrastructure) ou IGC (Infrastructure de gestion de clés) sous licence OpenSource (LGPL) développée en Java/J2EE. EJBCA bien plus qu'une PKI EJBCA fournit à la fois les fonctions classiques que l on retrouve dans la plupart des PKI du marché. mais elle fournit en également un serveur OCSP, un serveur d horodatage et un serveur de signature. Chaque composant peut être déployé de manière autonome ou intégrée dans EJBCA. EJBCA un générateur de vos besoins EJBCA a été construit comme un générateur, permettant de répondre rapidement et sans développement complémentaire aux contraintes liées aux certificats ou au SI de l entreprise. Le générateur permet de créer des profils de certificat, des formats de requête, des cinématique de gestion du cycle de vie des certification, de personnaliser des cartes à puce ou de dongle USB. EJBCA est une infrastructure de sécurité modulable pour faire face aux nouvelles opportunités d'affaires et flexibles pour s adapter aux différents niveaux d'assurances souhaités

Architecture fonctionnelle (1/4)

Architecture fonctionnelle (2/4) EJBCA propose quatre niveaux fonctionnels Chaque ou l ensemble des niveaux fonctionnel peut être déployé de manière unitaire ou consolidée sur une même machine ou dans une autre application. Entité publique ou autorité d enregistrement locale (AEL) Elle est composée d éléments permettant de réaliser des requêtes de certificats, de révocation ou pour récupérer des éléments publics de la PKI, tels les certificats d AC, CRL, certificat utilisateur, etc. Les méthodes d appels fournies par EJBCA sont les suivantes : Au format Web, par le biais de page à intégrer dans un intranet ou de manière autonome Au format ligne de commande, permet en complément de réaliser des opérations d administrations Sous forme d API Java à intégrer dans des composants métiers Sous forme de client ou d accès par un des protocoles supportés par EJBCA (voir caractéristique EJBCA) Par le biais du protocole SCEP pour les routeurs Autorité de la PKI ou Autorité de certification : Elles sont responsables de la délivrance et de la révocation des certificats Une même instance peut gérer plusieurs AC racine et AC subordonnées Les clefs peuvent être conservées sur des boîtiers cryptographiques (voir caractéristiques EJBCA), sur carte à puce ou dans la base de données

Architecture fonctionnelle (3/4) Entité administrative ou Autorité d enregistrement Elle englobe les fonctions de gestion de la PKI, telles les fonctions d authentification, de gestion de vie des certificats, de journalisation, de publication et de paramétrages de la PKI. En complément, elle permet de définir le format des entités publiques et le contenu des certificats. Les fonctions incluses dans l AE : Gestion des profils de certificat et d entité (permet de définir le contenu d un formulaire de demande de certificats) gestionnaire de clefs (séquestre et recouvrement) Définition du service de publication Gestion des administrateurs et des droits associés Gestion des profils pour les cartes à puce et Dongle USB Demande, rejet et Validation des requêtes de certificat et de révocation Processus de gestion du renouvellement Gestionnaire de journaux (paramétrage, consultation, export, etc.). WebRA Dernier né des entités d EJBCA, il a été conçu pour renforcer la partie fonctionnelle d EJBCA, il comprend les éléments suivants : Modules de gestion de vie des certificats (pre-condition, demande de certificats, révocation, renouvellement, etc.) Moteur de Worflow, permet de définir les cinématiques du cycle de vie des certificats Outils de reporting, statistiques, facturation Indépendance du gestionnaire d authentification et d habilitation Communication en WebService sécurisé avec EJBCA.

Architecture fonctionnelle (4/4) Composants additionnels Ces composants sont proposés en compléments de la PKI EJBCA, l ensemble de leurs fonctionnalités n est pas décrit dans cette présentation Serveur de signature (SignServer), permet de réaliser des opérations de signatures sur des documents Serveur d horodatage (SignServer), garantir électroniquement la date et l heure d une opération Serveur OCSP (EJBCA), permet de fournir une réponse immédiate et à jour aux questions sur le statut d un certificat

Architecture applicative (1/2)

Architecture applicative (2/2) EJBCA est découpée en trois couches : Couche présentation Elle fournit les interfaces aux clients et administrateurs pour les appels vers l autorité de certification ou vers l autorité d enregistrement. Une couche applicative Elle englobe les fonctions métiers de la PKI, elle comprend les éléments suivants : Les fonctions d authentification, de gestion de vie des certificats, de journalisation, de publication et de paramétrages de la PKI En complément, elle fournit un gestionnaire de clefs (séquestre et recouvrement) Une couche de données : Qui permet de stocker l ensemble des données de la PKI dans une base de données Il possible de connecter un ou plusieurs un annuaire LDAP pour lui adresser les données publiques de la PKI (utilisateurs, certificats, CRL, etc.)

Les normes et standards EJBCA est développée au plus près des standards, il prend en charges les préconisations de : l IETF (Internet Engineering Task Force ) pour la partie X509v3 (certificats numériques) et CRLv2, ainsi que les normes PKCS, SCEP. En complément, EJBCA intègre CMP (Certificate Management Protocol) pour l interopérabilité avec les autres solutions de PKI. Le W3C (World Wide Web Consortium) pour les technologies orientées architecture (SOA), tels XMLDsign (signature numérique), XKMS pour la validation et l enregistrement des certificats, WebService pour les appels entre les entités Le respect des standards garantit l interopérabilité

Indépendance EJBCA est indépendant des systèmes d exploitation, des bases de données ou des serveurs applicatifs. Il se déploie sur la plupart des systèmes Microsoft ou Unix, tels que Linux, FreeBSD ou Solaris EJBCA fonctionne sur un serveur d application, il est compatible avec les grands produits du marché, tels JBOSS, JONAS, GlashFish, WebLogic, WebSphere EJBCA est compatible avec les bases de données supportées par les serveurs d applications, les bases suivantes sont supportées : MySQL Oracle PostgreSQL DB2 Sysbase Informix MS-SQL2000

PrimeCA et Tolima PrimeCA est l outil de personnalisation des cartes à puce et TokenUSB Il s intègre à la solution EJBCA Il permet de définir tous les éléments nécessaires pour la gestion des cartes à puces (type de certificats, nombre, type de code PIN, etc.) Il permet d administrer la personnalisation des cartes à puce, en gérant à la fois les imprimantes et le contenu de la personnalisation (sérigraphique) Tolima (ou hardtoken Management) Le CMS (Card Management Service) d EJBCA est une plate-forme indépendant du projet EJBCA. C est la seule plate-forme totalement orienté Web. Elle permet de : Gérer le cycle des cartes à puces ou Token USB Gestion de la partie électrique de la carte : initialisation, code PIN, code PUK, etc. Imprimante de personnalisation des cartes

Caractéristiques Fonction Multiple AC et niveau d AC par instance Génération de certificat de manière individuel ou pour lot Génération de certificat en mode centralisé et décentralisé Administration par ligne de commande ou interface Web Support multilingue ; Anglais, français, espagnol, italien, suédois, chinois gestion des profils de certificats gestion des profils d entités Plusieurs niveaux d administrateurs par AC et par fonctions API support HSM Entité Autorité de certification Autorité d enregistrement Gestionnaire de clef (Séquestre et renouvellement) autorité d enregistrement publique serveur OCSP interne ou externe Gestionnaire de carte à puce et dongle USB service de journalisation Service de publication LDAP et courriel Protocole et standards Support Certificat x509v3 et CRL v2 (RFC3280) OCSP (protocole de validation - RFC2560) XKMS (validation et enregistrement de clefs en XML) CMP (protocole de gestion RFC4210) PKCS et CMS Horodatage (RFC3261) Certificats qualifiés (RFC3739 ) SCEP CRMF (RFC4211) LDAP v3 Serveur d application : Jboss, WebSphere, weblogic, Jonas Système d exploitation : Unix, Linux, Microsoft Base de données : Hypersonic, Mysql, Postgresql, Oracle, MS-SQL200, sysbase, informix Annuaire LDAP : Sun directory, OpenLDAP, Active Directory, LDAPv3 carte HSM : produit Ncipher, Safenet (LunaHSM), Chrysalis Cluster et monitoring

Les composants d une PKI ouverte L offre de Linagora en terme de certificat, est complétée par une offre d application permettant d étendre la sécurité applicative du SSI. (Pour une informations complètes voir les plaquettes produit) Internet DMZ Authentification unique SSO Offre de fédération d identité avec la solution FederID Offre d authentification unique Web avec JOSSO Intranet Client Serveur Web Réseau privé virtuel (VPN) Offre complète de certification de votre réseau Deux types de VPN : IPsec (Openswan) SSL (OpenVPN et SSLExplorer) Authentification Wifi (802.X) ` ` Partenaires X Serveur Extranet Serveur d infrastructures Passerelle d accès distant Offre complète de 802.1 Wired NAP avec FreeRaduis Employé distant

Client quelques clients français ; Direction générale de l armement Gendarmerie Nationale Société Générale GIE Cartes Bancaires Ministère des Finances Internationale, plus de 300 références à travers le monde,dont General Motors (USA) AT&T (USA) ZhuHai Local Taxation Bureau (Chine) Grupo Safa (Espagne) MediaCert (Portugal) Evaltec (Brésil) National Swedish Police Board (Suède)

Pour en savoir plus: France : www.ejbca-fr.org et ww.linagora.com Projet EJBCA : www.ejbca.org

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back