EVO CA
- Responsável pela geração
de certificados a partir das requisições
de certificações originadas pelo EVO
RA.
- O modelo implementado está baseado no
conceito de lote, isto é, processa lotes
de entrada contendo requisições de
certificação ou revogação
e gera lotes de saída contendo certificados
ou listas de revogação.
- Um lote de entrada é uma sequência
de requisições de certificação
e/ou revogação de um certificado previamente
emitido.
- Um lote de saída é um sequência
de certificados associados um a um com as requisições
de certificação e/ou lista de certificados
revogados.
- Pode emitir certificados para diversas políticas
de certificação diferentes de acordo
com as necessidades da solução.
- Permite geração de chaves RSA de
até 4096 bits.
- Perfil de certificados configuráveis.
- Suporta os principais HSMs do mercado.
- Autenticação de utilizador via SmartCard
ou Token.
- Mecanismo M de N para autenticação
do Administrador (Super User) da CA.
- Configuração de Emissão de
CRL.
- Consola com funcionalidades de RA (Subscrição/Pedido,
Renovação, Revogação,
Expedição e Pesquisa de Certificados).
- Logs de Auditoria Cifrados e Assinados.
- Suporta CAs Subordinadas.
- Suporta Certificação Cruzada.
- Comunicação com o Gateway através
de protocolo CMP (Certificate Message Protocol –
RFC 2510) sob canal seguro SSL.
- Gestão do ciclo de vida de uma CA: Emissão,
Renovação e Revogação
do certificado da CA.
- Sincronismo automático de base de dados.
- Pesquisa de Certificados.
- Pesquisa de Logs de Auditoria
EVO RA
- Versão Web ou Consola.
- Responsável pela gestão do registo
dos utilizadores e suas requisições.
É o componente do sistema de certificação
que tem contacto directo com os utilizadores, e
efectua a gestão do ciclo de vida de um certificado.
- Permite aos operadores solicitar emissão,
renovação e revogação
de certificados, com todas as acções
registradas.
- Autenticação de Operadores feita
por SmartCard ou token.
- Geração on-board de par de chaves
de utilizadores em SmartCard, token ou arquivos
no padrão PKCS#12.
- Suporta requisições de utilizadores
no padrão PKCS#10 ou CMP.
- Efectua conexão segura com o gateway –
SSL com bi- autenticação por certificados
digitais.
- Troca mensagens assinadas com o Gateway no padrão
CMP.
- Suporta múltiplos operadores com diferentes
perfis.
- Suporta perfis de certificados configuráveis.
- Geração de Logs de Auditoria cifrados
e assinados.
- Pesquisa de Logs.
- Pesquisa de Certificados.
- Download automático de CRL.
- Gestão do ciclo de vida de certificados
digitais:
- Solicitação de Certificados.
- Renovação de Certificados.
- Revogação de Certificados.
- Expedição de Certificados nos
seguintes dispositivos:
- SmartCard ou Token.
- Arquivo PKCS#7.
- Arquivo PKCS#12.
- Registo de Operadores.
EVO off-line
Módulo integrado com o EVO RA, que permite
recepção de requisições
de certificação e entrega de certificados
em processo de lote. Desta forma, é possível
operar a Autoridade Certificadora sem que esteja on-line,
elevando a segurança por prevenir ataques remotos.
EVO Gateway
- Módulo que efectua a gestão da
comunicação das diversas RAs com a
CA.
- Suporta múltiplas RAs simultaneamente.
- Publicação em LDAP através
de conexão segura SSL.
- Efectua publicação de Certificados
em repositório LDAP.
- Efectua publicação de CRL em repositório
LDAP.
- Efectua notificação por correio
electrónico de:
- Emissão de Certificado.
- Renovação de Certificado.
- Revogação de Certificado.
- Efectua autenticação de utilizador
via SmartCard.
- Suporta os principais HSMs do mercado.
- Suporta sincronismo de base de dados com a CA.
- Efectua comunicação com CA através
de canal Seguro SSL (Modo Online).
- Efectua comunicação com CA através
de arquivos de Lote (Modo Offline).
Perfis
Todos os módulos do Evo trabalham com o conceito
de perfis. Um perfil é um conjunto de regras
de definem como o sistema deve agir em determinado
contexto.
Todos os perfis, quando carregados na CA são
assinados pelo administrador do sistema. Os perfis
são replicados para o Gateway e posteriormente
para as RAs. Tanto o Gateway como as RAs validam a
assinatura dos perfis antes de utilizá-los.
O Evo trabalha com 3 tipos de Perfis:
Perfil de Certificado
O perfil de certificado é um arquivo XML
que representa um conjunto de regras aplicadas a
uma determinada política de certificados.
Para cada política de certificados suportada
pela CA deve criar-se um arquivo de perfil.
Tanto a RA como a CA utilizam os perfis de certificados
para montar dinamicamente as telas de emissão
de certificados, bem como fazer as críticas
de conformidade com a política de certificado.
A CA utiliza os perfis para gerar as mensagens
de publicação e notificação
que serão enviadas para o Gateway.
Num perfil de certificado as seguintes regras devem
ser descriminadas:
- Template de Certificado – Informação
de quais os campos de extensão do X.509
v3 devem fazer parte do certificado. Os campos
podem ser definidos como obrigatórios,
opcionais ou constantes.
- Período de Validade – Define o
período de validade do certificado (365
dias, 730 dias, ...).
- Algoritmo da Chave – Define um conjunto
de nomes de algoritmos de chaves (RSA, DSA, Diffie-
Hellman, ...) aceitos para aquele certificado.
- Tamanho da Chave – Define um conjunto
de tamanhos de chave (1024 bits, 2048 bits, ...)
aceitos para aquele certificado.
- Dispositivo de Geração e Armazenamento
– Define os tipos de dispositivos de geração
e armazenamento dos certificados (SmartCard, Arquivo
PKCS#12, ...).
- Publicação em LDAP – Define
o endereço, porta e forma de publicação
de certificado em repositório LDAP.
- Notificação por e- mail –
Define quais eventos devem ser notificados por
e-mail.
Perfil de Operador
O perfil de operador é um arquivo XML que
representa um conjunto de permissões de um
determinado operador. Todos os operadores do sistema
Evo têm um perfil de operador associado a
ele.
Num perfil de operador as seguintes regras devem
ser descriminadas:
- Políticas de Certificado – Emissão
– Lista de políticas de certificados
que o operador tem permissão para solicitar
emissão.
- Políticas de Certificado – Renovação
– Lista de políticas de certificados
que o operador tem permissão para solicitar
renovação.
- Políticas de Certificado – Revogação
– Lista de políticas de certificados
que o operador tem permissão para solicitar
revogação.
- Funcionalidades do Sistema – Lista de
funcionalidades (itens de menu) que o operador
tem permissão para aceder.
Perfil de CRL
O perfil de CRL é um arquivo XML que representa
um conjunto de regras para geração
e publicação das CRLs (Lista de Revogação
de Certificados) da CA.
Num perfil de CRLs as seguintes regras devem ser
descriminadas:
- Tipo da CRL – Define os tipos de CRL
que a AC pode emitir:
- Por tipo de certificado (Certificado de
utilizador final, certificados de sub-CA).
- Por motivo de Revogação (Comprometimento
de chave, perda de chave, ...).
- Periodicidade de Geração –
Para cada tipo de CRL é definido o período
entre uma geração de CRL e outra.
- Publicação em LDAP - Para cada
tipo de CRL é definido um conjunto de informação
para publicação da CRL em LDAP.
Logs de Auditoria
Todos os módulos do Evo geram logs de auditoria.
Os Logs são armazenados em base de dados cifrados
e assinados pelo operador do módulo em questão
(CA, Gateway, RA).
O Evo fornece uma ferramenta de pesquisa de logs
de auditoria. Esta ferramenta além de permitir
a pesquisa dos logs contidos num determinado módulo,
permite também:
- Exportação de Logs para arquivos
(faz cópia dos logs, não apagando
a base de dados).
- Arquivo de Logs em ficheiro (move os logs para
arquivo, apagando-os da base de dados).
- Cruzamento de logs de diversos módulos
(CA, Gateway, múltiplas RAs) para uma auditoria
mais completa.
