A continuación, se proporciona información para la resolución de problemas de criptografía y seguridad. Para consultar consejos generales de resolución de problemas y buscar temas relacionados, consulte Solución de problemas de EJBCA .

¿Dónde se almacenan las claves de CA basadas en software en la base de datos?
Cuando se crea una nueva entidad final, ¿dónde y cómo se almacena la contraseña?
Si habilito la recuperación de clave, ¿dónde se almacenan las claves privadas de las entidades finales en la base de datos?
¿Cuál es la clasificación de exportación de EJBCA (código ECCN)?
Recibo el error "La firma no se verificó correctamente" al ejecutar un HSM en modo FIPS

¿Dónde se almacenan las claves de CA basadas en software en la base de datos?

Estas claves se almacenan en un archivo PKCS#12, cifrado con contraseña. El archivo PKCS#12 se guarda en la base de datos, en la tabla CryptoTokenData.

Cuando se crea una nueva entidad final, ¿dónde y cómo se almacena la contraseña?

Una contraseña de un solo uso se almacena en hash con BCrypt en la tabla UserData de la base de datos. Si se activa la opción "Contraseña en texto plano" al añadir el usuario, la contraseña se almacena en texto plano para su generación en el servidor. Las contraseñas en texto plano se ofuscan mediante cifrado integrado. Esto no se considera un cifrado seguro, sino solo para ofuscar, por lo que no es posible ver (ni recordar) las contraseñas en texto plano.

Si habilito la recuperación de clave, ¿dónde se almacenan las claves privadas de las entidades finales en la base de datos?

Las claves privadas para la recuperación de claves se almacenan en la tabla KeyRecoveryData de la base de datos. Los datos se cifran con la clave de cifrado de la CA en una estructura CMS (PKCS#7) mediante RSA y AES256. Las claves privadas solo se almacenan si la recuperación de claves está habilitada.

Para obtener más información, consulte Recuperación de clave .

¿Cuál es la clasificación de exportación de EJBCA (código ECCN)?

En teoría, EJBCA se clasificaría bajo el código ECCN 5D002.c.1, y el dispositivo PrimeKey PKI bajo el 5A002.a.1, y su exportación estaría aprobada bajo la Excepción de Licencia TSU. Consulte el sitio web de la Oficina de Industria y Seguridad para obtener más información.

Sin embargo, en EJBCA, SignServer y el dispositivo PKI PrimeKey, el cifrado solo se utiliza para autenticación y firmas digitales. Por lo tanto, los productos no están sujetos a las normas 5D002.c.1 ni 5A002.a.1.

Recibo el error "La firma no se verificó correctamente" al ejecutar un HSM en modo FIPS

Probablemente haya configurado la misma clave para firmas y cifrado, lo cual no está permitido según FIPS. Para más información sobre los HSM, consulte Módulos de seguridad de hardware (HSM) .