ویژگی نرم افزار مدیریت و صدور گواهی الکترونیکی EJBCA

به طور کلی نرم افزار های مدیریت و صدور گواهی الکترونیکی EJBCA مبتنی بر تکنولوژی جاوا و معماری پنج لایه نوشته شده است و به صورت کلاینت و سروری سمت کلاینت از سمت سرور به صورت وب سرویس SOAP سرویس می گیرد. نرم افزار EJBCA را می توان به چهار مولفه زیر تقسیم نمود

مولفه مدیریت و صدور گواهی الکترونیکی

این مولفه به عنوان هسته اصلی سامانه شامل مشخصه های ذیل است:


    مديريت کليد

  • امکان نگهداری کليد خصوصی CA در يک ماژول رمزنگاری امن با واسط PKCS#11/CSP
  • قابلیت انجام عمليات توليد زوج کليد برای CA از طريق واسط PKCS#11/CSP
  • امكان استفاده از يك HSM‌ براي راه اندازي چندين CA میانی
  • امکان نگهداری کليد خصوصی اپراتورهای CA در يک توکن امنيتی با واسط PKCS#11/CSP

    نقش ها و احراز هويت

  • امکان تعريف نقش های مختلف
  • قابلیت تعريف نام کاربری مجزا برای کاربران
  • پشتيبانی از احراز هويت چند عامله جهت Login (احراز هويت از طريق توکن)
  • پشتيبانی از استاندارد FIPS 196 جهت احرازهويت

    پايگاه داده

  • ارائه مخزن مبتنی بر HTTP
  • ارائه مخزن مبتنی بر سرويس دايرکتوری (LDAP)
  • CRL در مخزن مبتنی بر سرويس دايركتوری (LDAP)
  • امكان بارگذاری جديدترين CRL در مخزن مبتنی بر HTTP
  • امکان بارگذاری گواهی های متعلق به موجوديت های نهايی در مخزن مبتنی بر سرويس دايرکتوری (LDAP)
  • امکان بارگذاری گواهی های متعلق به CA در مخزن مبتنی بر سرويس دايرکتوری (LDAP)
  • امکان بارگذاری گواهی های متعلق به موجوديت های نهايی در مخزن مبتنی بر HTTP
  • امکان بارگذاری گواهی های متعلق به CA در مخزن مبتنی بر HTTP
  • امکان پشتيبان گيری از مخزن LDAP
  • امکان پشتيبان گيری از مخزن HTTP
  • امکان بازيابی مخزن LDAP
  • امکان بازيابی مخزن HTTP
  • قابلیت برقراری ارتباط امن مبتنی بر SSL/TLS ميان مخزن HTTP و CA
  • قابلیت برقراری ارتباط امن مبتنی بر TLS ميان مخزن LDAP و CA

    رويداد‌نگاری

  • قابلیت مديريت تقاضاهای ارسال شده از طرف RA
  • امکان اعتبار سنجی امضای درخواست های ارسال شده از سوی RA توسط CA
  • قابلیت بررسی انطباق تقاضاهای صدور گواهی دريافت شده از سمت RA بر اساس پروفايل
  • امکان ثبت رويداد "Login" کاربران مختلف با جزئيات کافی
  • امکان گزارش گیری از رویدادهای ثبت شده
  • انجام عمليات امضا روي رويداد های ثبت شده پس از ثبت هر رويداد جديد
  • امکان اعتبار سنجی امضای رويداد های ثبت شده
  • امکان پيکربندی نحوه انجام عمليات بازبينی رويدادهای ثبت شده توسط کاربر راهبر از طریق واسط کاربری

    تعريف پروفايل

  • امکان تعريف پروفايل های جديد صدور گواهی از طريق نرم افزار CA
  • امکان انجام عمليات امضاي پروفايل های توليد شده توسط CA و ذخيره پروفايل های ايجاد شده به صورت امضا شده در پایگاه داده
  • امکان وارسی امضای پروفايل های ايجاد شده
  • امکان اعمال الزامات نام گذاری (Naming) مرکز ريشه بر روی درخواست امضای گواهی (CSR) و منطبق با استاندارد PKCS#10 جهت صدور گواهی برای موجوديت های نهايی
  • امکان صدور گواهی بر اساس تمامی پروفایل های مورد تایید مرکز ریشه

    ارتباطات با مولفه‌ها

  • قابلیت به روز رسانی گواهی های مورد استفاده برای برقراری ارتباط SSL
  • امكان به‌روز رسانی و جايگزينی گواهی‌های SSL

    الگوريتم‌های رمزنگاری

  • پشتیبانی از الگوریتم درهم سازی SHA1
  • پشتیبانی از الگوریتم درهم سازی SHA2
  • پشتیبانی از الگوریتم RSA با طول کليد 1024
  • پشتیبانی از الگوریتم RSA با طول کليد 2048
  • پشتیبانی از الگوریتم RSA با طول کليد 4096

    سایر ویژگی ها

  • ارائه نصاب جداگانه برای نرم افزار CA
  • امکان نصب بر روی سيستم عامل های مختلف
  • امکان پيکربندی ارتباط امن ميان CA و کنسول مديريتی آن
  • ارائه کنسول مديريتی مجزا برای مولفه CA
  • امکان پيکربندی CA جهت بارگذاری واسط PKCS#11/CSP به منظور برقراری ارتباط با ماژول سخت افزاری رمزنگاری
  • امکان پیکربندی ماژول PKCS#11/CSP از طریق واسط کاربری

مولفه درخواست صدور گواهی الکترونیکی

به عنوان نهاد ارائه کننده درخواست صدور گواهی الکترونیکی به مرکز CA دارای مشخصه های ذیل است:


    مديريت کليد

  • امکان نگهداری کليد خصوصی CA در يک ماژول رمزنگاری امن با واسط PKCS#11/CSP
  • امکان انجام عمليات توليد زوج کليد برای RA از طريق واسط PKCS#11/CSP
  • امکان انتقال کليد عمومی RA در قالب درخواست امضای گواهی(CSR) منطبق با استاندارد PKCS#10
  • امکان نگهداری کليد خصوصی اپراتورهای RA در يک توکن امنيتی با واسط PKCS#11/CSP جهت انجام عمليات Login
  • امکان انجام عمليات توليد کليد برای اپراتورهای RA از طريق واسط PKCS#11/CSP جهت انجام عمليات Login

    نقش ها و احراز هويت در RA

  • امکان تعريف نقش های مختلف
  • قابلیت تعريف نام کاربری مجزا برای کاربران
  • پشتيبانی از احراز هويت چند عامله جهت Login
  • پشتيبانی از الزامات استاندارد FIPS 196 جهت احراز هويت
  • امکان شخصی سازی توکن کاربران جهت احراز هويت دوعامله
  • امکان مجوزدهی های مختلف به کاربران

    الگوريتم‌های رمزنگاری

  • پشتیبانی از الگوریتم درهم سازی SHA1
  • پشتیبانی از الگوریتم درهم سازی SHA2
  • پشتیبانی از الگوریتم RSA با طول کليد 1024
  • پشتیبانی از الگوریتم RSA با طول کليد 2048
  • پشتیبانی از الگوریتم RSA با طول کليد 4096

    پيكربندی RA

  • قابلیت انجام تمامی پيکربندی های زمان اجرا از طريق کنسولRA

    سایر ویژگی ها

  • امکان نصب بر روی سيستم عامل های مختلف
  • امکان انجام عمليات POP توسط RA
  • امکان توليد CSR مبتنی بر الزامات نام گذاری مرکز ريشه
  • امکان توليد زوج کليد بر روی توکن و ايجاد CSR برای متقاضيان گواهی از طريق واسط کاربری
  • ارائه کنسول مديريتی مجزا برای مولفه RA
  • امکان پيکربندی ارتباط امن ميان RA و کنسول مدیریتی آن
  • امکان پيکربندی RA جهت بارگذاری واسط PKCS#11/CSP به منظور برقراری ارتباط با ماژول سخت افزاری رمزنگاری

مولفه بررسی کننده درخواست وضعیت گواهی

به صورت برخط دارای مشخصه های ذیل می باشد:


  • قابليت اعمال کنترل دسترسی به کاربران جهت مديريت و پيکربندی کنسول OCSP
  • استفاده از سرويس پايگاه داده جدا در مولفه OCSP
  • امکان پشتيبان گيری از پايگاه داده سرور OCSP
  • پشتیبانی مولفه OCSP از احراز هويت دو عامله بر اساس FIPS 196
  • قابلیت برقراری ارتباط امن ميان OCSP و پايگاه داده آن
  • قابلیت ثبت رويداد دريافت تقاضای بررسی وضعيت گواهی
  • قابلیت ثبت رويداد پاسخ به تقاضای بررسی وضعيت گواهی
  • امکان بازبينی يا گزارش گيری از رويدادهای ثبت شده
  • امکان اعتبارسنجی امضای رويدادهای ثبت شده
  • امکان ذخيره سازی زوج کليد مربوط به OCSP در يک ماژول مبتنی بر واسط PKCS11/CSP
  • امکان نصب بر روی سيستم عامل های مختلف

مخزن گواهی ها و CRL های صادر شده

که در آن تمامی گواهی ها و CRL های صادر شده توسط مولفه CA بر اساس یک ساختار سلسله مراتبی ذخیره می شوند.

ویژگی های مربوط به مخزن دایرکتوری LDAP در بخش ویژگی های مربوط به مخزن CA در قسمت های قبل توضیح داده شده است.