XiPKI开源 PKI 实现
XiPKI (eXtensible sImple Public Key Infrastructure) 是一个高度可伸缩和高性能的开源 PKI 实现(CA and OCSP responder).
要求:
- OS:Linux、Windows、MacOS
- JRE/JDK 8 (build 162+),9、10、11、12、13
- 数据库:DB2、MariaDB、MySQL、Oracle、PostgreSQL、H2、HSQLDB
特性:
-
CA (Certification Authority)
- X.509 Certificate v3 (RFC 5280)
- X.509 CRL v2 (RFC 5280)
- EdDSA Certificates (RFC 8410, RFC 8032)
- Diffie-Hellman Proof-of-Possession Algorithms (RFC 6955)
- SCEP (draft-gutmann-scep-00, draft-nourse-scep-23)
- EN 319 411 (eIDAS)
- EN 319 412 (eIDAS)
- 支持的数据库:DB2, MariaDB, MySQL, Oracle, PostgreSQL, H2, HSQLDB
- Direct 和 indirect CRL
- FullCRL 和 DeltaCRL
- 定制扩展以在CRL中嵌入证书
- CMP (RFC 4210 和 RFC 4211)
- 用于指定自定义证书配置文件的API
- 支持基于JSON的证书配置文件
- 用于指定自定义发布者的API,例如LDAP和OCSP响应者
- OCSP响应者的发布者支持
- 证书的公钥类型
- RSA
- EC
- DSA
- Ed25519, Ed448
- X25519, X448
- SM2
- 证书的签名算法
- Ed25519, Ed448
- SM3withSM2
- SHA3-*withRSA: where * is 224, 256, 384 and 512
- SHA3-*withRSAandMGF1: where * is 224, 256, 384 and 512
- SHA3-*withECDSA: where * is 224, 256, 384 and 512
- SHA3-*withDSA: where * is 224, 256, 384 and 512
- SHA*withRSA: where * is 1, 224, 256, 384 and 512
- SHA*withRSAandMGF1: where * is 1, 224, 256, 384 and 512
- SHA*withECDSA: where * is 1, 224, 256, 384 and 512
- SHA*withPlainECDSA: where * is 1, 224, 256, 384 and 512
- SHA*withDSA: where * is 1, 224, 256, 384 and 512
-
X.509扩展的本机支持(通过将其配置为blob,可以支持其他扩展)
- AdditionalInformation (German national standard CommonPKI)
- Admission (German national standard CommonPKI)
- AuthorityInformationAccess (RFC 5280)
- AuthorityKeyIdentifier (RFC 5280)
- BasicConstraints (RFC 5280)
- BiometricInfo (RFC 3739)
- CertificatePolicies (RFC 5280)
- CRLDistributionPoints (RFC 5280)
- CT Precertificate SCTs (RFC 6962)
- ExtendedKeyUsage (RFC 5280)
- FreshestCRL (RFC 5280)
- InhibitAnyPolicy (RFC 5280)
- IssuerAltName (RFC 5280)
- KeyUsage (RFC 5280)
- NameConstraints (RFC 5280)
- OcspNoCheck (RFC 6960)
- PolicyConstrains (RFC 5280)
- PolicyMappings (RFC 5280)
- PrivateKeyUsagePeriod (RFC 5280)
- QCStatements (RFC 3739, eIDAS standard EN 319 412)
- Restriction (German national standard CommonPKI)
- SMIMECapabilities (RFC 4262)
- SubjectAltName (RFC 5280)
- SubjectDirectoryAttributes (RFC 3739)
- SubjectInfoAccess (RFC 5280)
- SubjectKeyIdentifier (RFC 5280)
- TLSFeature (RFC 7633)
- ValidityModel (German national standard CommonPKI)
- GM/T 0015 IdentityCode (个人身份标识码, Chinese Standard GM/T 0015-2012)
- GM/T 0015 InsuranceNumber (个人社会保险号, Chinese Standard GM/T 0015-2012)
- GM/T 0015 ICRegistrationNumber (企业工商注册号, Chinese Standard GM/T 0015-2012)
- GM/T 0015 OrganizationCode (企业组织机构代码, Chinese Standard GM/T 0015-2012)
- GM/T 0015 TaxationNumber (企业税号, Chinese Standard GM/T 0015-2012)
-
在一个软件实例中管理多个CA
-
支持数据库集群
-
同一CA的多个软件实例(都可以处于活动模式)
-
通过嵌入式OSGi命令对CA管理的本地支持
-
用于指定CA管理的API,例如GUI
-
数据库工具(导出和导入CA数据库)简化了数据库的切换,XiPKi的升级以及从其他CA系统到XiPKI CA的切换。
-
客户端注册,撤销,撤销和删除证书,以生成和下载CRL
-
除了数据库的配置外,CA的所有配置都保存在数据库中
-
OCSP Responder
- OCSP Responder (RFC 2560 and RFC 6960)
- 支持Common PKI 2.0
- 管理多个证书状态源
- 支持基于XiPKI CA数据库的证书状态源
- 支持XiPKI CA发布的基于OCSP数据库的证书状态源
- 支持证书状态源CRL和DeltaCRL
- 支持EJBCA发布的证书状态源
- 支持专有证书来源的API
- 支持未签名和已签名的OCSP请求
- 同一OCSP签名者和证书状态源的多个软件实例(都可以处于活动模式)。
- 支持的数据库:DB2,MariaDB,MySQL,Oracle,PostgreSQL,H2,HSQLDB
- 数据库工具(导出和导入OCSP数据库)简化了数据库的切换,XiPKi的升级以及从其他OCSP系统到XiPKI OCSP的切换。
- 客户端发送OCSP请求
-
SCEP
- 支持的SCEP版本
- draft-gutmann-scep-00
- draft-nourse-scep-23
- 支持的SCEP版本
-
工具包(适用于PKCS#12和PKCS#11令牌)
- 生成令牌中的RSA,EC和DSA密钥对
- 从令牌中删除密钥对和证书
- 更新令牌中的证书
- 生成CSR(PKCS#10请求)
- 从令牌导出证书
-
对于CA和OCSP响应者
- 支持PKCS#12和JCEKS密钥库
- 支持PKCS#11设备,例如HSM
- 使用自定义密钥类型的API,例如智能卡
- 高性能
- 支持健康检查
-
对于CA,OCSP响应程序和工具包
- 解析密码的API
- 支持PBE(基于密码的加密)密码解析器
- 所有密码均可通过主密码进行加密
- 支持OBF(如码头)密码解析器
评论