LINUX.ORG.RU

Вышел EJBCA 3.11

 , , , ,


0

2

29-го ноября, как и ожидалось, вышел EJBCA 3.11

EJBCA — это OpenSource ПО для создания Certification Authority уровня предприятия. Отличается полной реализацией функционала CA и поддерживает крупные СУБД. С точки зрения пользователя, EJBCA предоставляет два вида интерфейса для управления жизненным циклом сертификатов: консольный и развитый веб-интерфейс. Также в EJBCA реализованы протоколы OCSP и SCEP, позволяющие в том числе взаимодействовать с интеллектуальным сетевым и криптографическим оборудованием.

EJBCA Написан на языке Java, имеет собственный документированный API, запускается на большинстве широко распространёных серверов приложений (JBoss, Glassfish, Weblogic, OC4J). К сожалению, в этом списке не нашлось места для IBM WebSphere.

Стабильный релиз 3.11 — переходный, его основным назначением является максимальное асимптотическое приближение к тестовой кодовой базе с целью дальнейшей стабилизации последней и выпуска 4-й версии.

Тем не менее, в 3.11 есть и некоторые интересные изменения:

  • отныне можно вовсе не использовать хранилища сертификатов и аккаунтов пользователей, благодаря чему можно работать вообще без привязки к каким-либо источникам данных;
  • сервис протокола OCSP стал универсальным средством проверки доверия сертификатам, предоставляя своим клиентам по запросу кроме собственно возможностей OCSP также «традиционные» CRL-списки и сертификат(ы) CA;
  • обновлена схема базы данных с целью обеспечения совместимости со всеми поддерживаемыми реализациями СУБД;
  • улучшена поддержка Glassfish, в результате чего стало возможным запускать EJBCA под Glassfish с поддержкой СУБД Oracle;
  • веб-интерфейс дополнен полезной возможностью указывать множество дополнительных информативных атрибутов при изменении настроек пользователей;
  • появился Guide по супер-быстрой установке EJBCA 3.11 на Ubuntu 10.04 LTS (в пику гораздо более длинному стандартному QuickStart Guide'у).

В данном релизе, как и всегда, к вашим услугам:

  • очень простая пошаговая документация со множеством примеров;
  • широкий круг поддерживаемых платформ;
  • отличная поддержка стандартов (например, очень приятно, что полноценно поддерживается LDAP);
  • активное сообщество пользователей.

>>> Сайт программы

★★★★★

Проверено: post-factum ()

О, какая шикарная штука. Не знал что существует. Обязательно попытаю.

За очевидной нужностью готов проглотить жабу и не подавиться. Не, жалко конечно что не свободном ЯП сделано, но за неимением гербовой....

А с аладдиновскими электронными ключами оно дружится?

k0valenk0_igor ★★★ ()
Ответ на: комментарий от k0valenk0_igor

Мельком встречал упоминание Alladin'а в доках, так что наверное дружится, сам его хочу для простого внутреннего CA фирмы использовать вместо изрядно осточертевшего уже OpenCA (начал последний юзать где-то меньше месяца назад и уже пропёрся от того, сколько же там маразма). Вообще у него хорошая совместимость с токенами различными, делалось-то для какого-то коммерческого CA изначально, потом просто опубликовали, чтобы продукт не загнулся, а развивался силами сообщества.

DRVTiny ★★★★★ ()
Ответ на: комментарий от k0valenk0_igor

>За очевидной нужностью готов проглотить жабу и не подавиться
Да, есть вещи, которые очевидным образом доказывают, что жаба всё-таки нужна.
Кстати, для Ubuntu 10.04 они рекомендуют ставить OpenJDK, так что вроде не всё так страшно в плане закрытости языка.

DRVTiny ★★★★★ ()
Ответ на: комментарий от k0valenk0_igor

tinyca2 - вполне намана, для дома, для семьи. Конечно, если нет очень ынтерпрайзовых запросов.

svu ★★★★★ ()
Ответ на: комментарий от DRVTiny

ОпенЖДК глюкало то еще. Я попробовал в эклипсе им отлаживаться...

svu ★★★★★ ()
Ответ на: комментарий от svu

>tinyca2 - вполне намана, для дома, для семьи. Конечно, если нет очень ынтерпрайзовых запросов.

Что-то я его поюзал немного (причём только для себя, внутри компании всё равно нужен веб-доступ), мне оно не понравилось: я конечно понимаю, что простота - друг молодёжи, но это уж слишком как-то... Мне кажеьтся, даже консольный openssl в таком случае логичнее. К тому же, может я совсем тупой (а подобные подозрения у меня бывают порой :) ), но я так и не смог определить, где в tinyca2 сгенерить запрос сертификата без наложения пароля на закрытый ключ. Согласитесь, для какого-нибудь OpenVPN'а или Апача пароли на ключах - это сильно не айс и почему в tinyca не предусмотрели возможность ниспровержения идеалов путём забивания на защищённость ключа я не в курсе :)
Вообще я очень много всего пересмотрел на тему CA, давеча даже написал глупую Perl-скриптину для генерации CSR'ок, а то OpenCA в том числе и это по-человечески делать не умеет (и вообще большего уродства, чем OpenCA и его Perl-модули, я что-то уже давно не встречал) - в итоге пришёл к тому, к чему пришёл: клинически нелюбимый мной Java-софт в данном случае оказался лучше. Собственно, если бы не удачный опыт с Openfire, который меня просто потряс до глубины души тем, что его ставить и настраивать едва ли не проще, чем какой-нибудь Gajim, я бы так и не поставил EJBCA.
Да, насчёт OpenJDK не знаю, у меня нормально всё пока что...

DRVTiny ★★★★★ ()

Кстати, спасибо post-factum за переоформление текста новости: что-то я пока никак с ЛОР-кодом не сдружусь, звиняйте :(

DRVTiny ★★★★★ ()
Ответ на: комментарий от DRVTiny

> внутри компании всё равно нужен веб-доступ
Опасно это - веб доступ к CA. По уму, CA должен жить на компе без сетки;)

Мне кажеьтся, даже консольный openssl в таком случае логичнее

Я ниасилил его заковыристую командную строку. tinyca хорош тем, что освобождает от этой беды - а по сути, он действительно просто морда к нему.

запрос сертификата без наложения пароля на закрытый ключ

Ваще-то там есть чекбокс специально про это...

большего уродства, чем OpenCA

Он просто какой-то мегамонстр. Ребята перемудрили ИМХО.

svu ★★★★★ ()
Ответ на: комментарий от svu

>Он просто какой-то мегамонстр.
Он страшный мегамонстр. Это даже не индусский код, это много хуже... Просто образец не качественного ПО, которое вплоть до уровня базовых модулей гнилое. Посмотреть хотя бы на OpenCA::OpenSSL - в конечном итоге я смог его использовать в своём скрипте, но для этого мне пришлось прочитать его исходный код, потому что pod, который к нему идёт - устаревшее враньё процентов на 80, - и ещё убедится в том, что эта дико тормозная хреновина (я реально прямо чувствую, как оно там еле ворочается) предназначена для чего бы вы думали? Хаха! Она просто вызывает path-to-openssl с параметрами. Ну «Вашу ж ма.ь!» (С) SP.
Понимаете, OpenCA был бы в разы проще, если бы они хотя бы к тому, что кое-как работает после допиливания написали документацию и апдейтили её хотя бы иногда. А то есть какой-то кошмарный высер про версию 0.9.2, но он уже неактуален во многом, я уж не говорю о том, что так нормальные люди доки не пишут!

DRVTiny ★★★★★ ()

страшно подумать на кой черт там слово EJB и поддержка «крупных СУБД»

r ★★★★★ ()

а есть такое же но только для регистрации доменов? :)

alt0v14 ★★★ ()
Ответ на: комментарий от r

>страшно подумать на кой черт там слово EJB и поддержка «крупных СУБД»
Имеется в виду: EJBCA может быстро работать даже с очень большими базами. Энтерпрайз-это в первую очередь высокие нагрузки и большие объёмы данных, вот собственно под это оптимизирован EJBCA. Це же гарно, разве ни?

DRVTiny ★★★★★ ()
Ответ на: комментарий от DRVTiny

>Имеется в виду: EJBCA может быстро работать даже с очень большими базами.

А кто-то это проверял? Загонял 10 миллионов сертификатов и смотрел че там ворочается или нет.

r ★★★★★ ()
Ответ на: комментарий от DRVTiny

>А кто-нибудь знает, что это такое за таблица

Таблица соответствия дебиановских пакетов зависимостям ejbca.

r ★★★★★ ()

штука крайне востребованная. посмотрим.

AVL2 ★★★★★ ()

gnoMint прекрасно справляется с этой задачей. Но надо оценить и эту.

fox_md ()

Кстати, при установке во-первых ничего не меняйте в ant install - он ставит дефолтную «внутреннюю» конфигурацию, действующую в пределах localhost, это не имеет отношения к вашему будущему CA
И ещё при если JBoss ругается на EjbcaDS - это значит, что ему не хватает прав доступа на папку, в которой EJBCA этот находится. Оптимальный вариант - один пользователь jboss и на то, и на то. Как вариант - мой изврат с 2-мя юзерами (ejbca и jboss), но тогда придётся после редеплоев следить за тем, чтобы файлы имели права на read группой jboss, а каталоги - ещё и на execute.
Вот... а так вообще вещь классная, реально рекомендую всем, кого совсем уж от явы не тошнит :) К тому же, всё это дело может ставится куда угодно абсолютно, хоть в /tmp, так что не понравится - снесёте :)

P.S. Особенно радует то, что они ключевую документацию таскают даже с собой, атк что можно прямо из веб-интерфейса читать. А ещё +1 за то, что не нужно вообще никаких паролей вводить, как в тупом OpenCA - здесь аутентификация в чистом виде через сертификат.

DRVTiny ★★★★★ ()
Ответ на: комментарий от fox_md

Ну просто ппц, только написал, что в gnoMint багов вроде нет, как столкнулся с целой кучей таковых. Нужно тогда уточнить, что если его не использовать, то багов и правда нет, в интерфейсе есть все нужные пункты и все они работают, но... гм... он у меня полчаса уже генерирует ключи...

DRVTiny ★★★★★ ()

openssl же

Для нужд небольшой компании (в пределах 20 сертификатов) разворачивал CA средствами самого openssl (скрипт CA.sh). Успешно используется, проблем не было. Для большой компании это конечно не подойдет, но там и поддержка к продуктам нужна обязательно и бесплатность никого не будет интересовать

anonymous ()
Ответ на: комментарий от DRVTiny

но я так и не смог определить, где в tinyca2 сгенерить запрос сертификата без наложения пароля на закрытый ключ.

Там при экспорте закрытого ключа можно выбрать опцию «Без пароля» (не помню точно как называется). А вообще да, у TinyCA интерфейс очень брутальный. Он кстати на perl'е написан =).

mironov_ivan ★★★★★ ()
Ответ на: комментарий от DRVTiny

но... гм... он у меня полчаса уже генерирует ключи...

А процессор в это время загружен? А то может просто в /dev/random кончились случайные данные =).

mironov_ivan ★★★★★ ()

Для целей генерации сертификатов есть ещё Django-PKI.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.