Là chứng thư CA được ban hành bởi CA khác để chứng thực lẫn nhau. Chứng thư chéo có đặc điểm tên của tổ chức phát hành chứng thư khác với tên của chủ thể chứng thư.
Page 58
Chương 4
Triển khai hệ thống chứng thực khóa công khai sử dụng gói phần mềm mã nguồn mở EJBCA
Nội dung của chương này giới thiệu gói phần mềm mã nguồn mở
EJBCA, gói phần mềm cho phép triền khai một hệ thống PKI hoàn chỉnh và đầy đủ chức năng. Nhằm tận dụng các tính chất ưu việt của gói phần mềm này cũng như kiểm soát được quá trình phát triển và độ an toàn của hệ thống, đề tài đã tiến hành phân tích, cải tiến và triển khai thử nghiệm một hệ thống chứng thực tập trung theo kiến trúc PKI phân cấp đơn giản, có thế sử dụng ngay trong thực tế.
4.1 Gói phần mềm mã nguồn mở EJBCA
4.1.1 Giới thiệu
Kiến trúc Enterprise Java Beans (EJB) là một đặc tả được công ty Sun Microsystems phát triển. EJB mô tả một kiến trúc dựa trên thành phần cho việc phát triển và triển khai các ứng dụng phân tán, cho phép các ứng dụng doanh nghiệp có thể mở rộng, an toàn và có thể giao tác.
EJB là các thành phần thực thi bên trong “khung chứa EJB” (EJB container), dưới sự giám sát của một máy chú ứng dụng (như JBOSS). Máy chủ ứng dụng và khung chửa EJB cung cấp các dịch vụ hệ thống cho EJB như tính bền vững dữ liệu, giao tác, bảo mật và quản lý tài nguyên. EJB là phần cốt lõi của ứng dụng J2EE, Khung chứa EJB duy trì các kết nối dữ liệu dùng chung cũng như các thực thể EJB dùng chung được cung cấp cho người dùng khi cần.
EJBCA là một CA đầy đủ chức năng được xây dựng trên Java. Do được dựa trên công nghệ J2EE, EJBCA tạo thành một CA mạnh, hiệu suất cao và dựa trên thành phần. Với sự mềm dẻo và độc lập môi trường nền, EJBCA có thể
Page 59
được sử dụng độc lập hoặc được tích hợp trong các ứng dụng J2EE. EJBCA là một sản phẩm của công ty PrimeKey, một trong các công ty PKI mã nguồn mở đứng đầu trên thế giới, được thành lập năm 2002 tại Stockholm, Thụy Điển. PrimeKey cung cấp các sản phẩm PKI và thẻ thông minh, các giải pháp liên quan và các dịch vụ chuyên nghiệp.
EJBCA trải qua các giai đoạn phát triển như sau:
- Phiên bản l.x bắt đầu như một bản beta trên SourceForge vào tháng
11/2001. Ý tưởng của EJBCA là thực thi một CA bên trong một máy chủ ứng dụng J2EE. Phiên bản 1.0-1.4 cung cấp các hỗ trợ đối với Jboss, WebLogic, CRL, LDAP, MySQL, PostgreSQL, Oracle.
- Phiên bản 2.X lấy kinh nghiệm từ phiên bản 1.X và được bắt đầu từ
tháng 3/2003. Phiên bản này cung cấp các hỗ trợ đối với thẻ từ, PIN/PUK, phục hồi khóa, trạng thái chứng nhận, OCSP, SCEP, các tính năng đặc biệt cho AD và Outlook, OpenLDAP.
- Phiên bản 3.X bắt đầu từ tháng 6/2004, cung cấp các hỗ trợ đối với
CA ảo, kiếm tra JUnit, hỗ trợ HSM (nCipher, Luna/Eracom/SafeNet), ngôn ngữ (Tây Ban nha, Pháp, Ý, Trung Quốc, Thụy Điển, Đức), OCSP Responder bên ngoài, Infomix, OpenVPN, RA API ngoài, CMP, XKMSv2, các dịch vụ theo dõi, ECDSA, các mở rộng chứng nhận tùy thích, DN và altName OIDs.
EJBCA là phàn mềm mã nguồn mở, hỗ trợ rất nhiều chức năng. Tính đến 6/10/2008, phiên bản 3.X đã có hơn 47.600 lượt tải về. EJBCA thực sự đã trở thành một sản phẩm toàn diện cho các giải pháp PKI/CA thay thế cho mọi ứng sản phẩm khác.
Page 60