EJBCA 7.9.1

EJBCA 7.9.0

EJBCA 7.8.2.1

EJBCA 7.8.2.1 fue una versión interna, que generalmente no estaba disponible para los clientes.

EJBCA 7.8.2

EJBCA 7.8.2 fue una versión interna, que generalmente no estaba disponible para los clientes.

EJBCA 7.8.1

EJBCA 7.8.0.3

Esta versión de mantenimiento incluye una corrección que permite que el campo de configuración SCEP Secreto de API de aplicación de Azure contenga caracteres especiales.

EJBCA 7.8.0.2

EJBCA 7.8.0.2 fue una versión interna específica de EJBCA SaaS

EJBCA 7.8.0.1

EJBCA 7.8.0 fue una versión interna, no disponible generalmente para los clientes

EJBCA 7.7.0

EJBCA 7.6.0

En esta versión también se incluyen los cambios realizados en EJBCA 7.5.1, que solo se lanzó internamente.

EJBCA 7.5.0.1

EJBCA 7.5.0 fue una versión interna, no disponible generalmente para los clientes

EJBCA 7.4.3.3

EJBCA 7.4.3.2

EJBCA 7.4.3

EJBCA 7.4.2

EJBCA 7.4.1

EJBCA 7.4.0

EJBCA 7.3.1.4

Esta versión de parche corrige las regresiones que se descubrieron como resultado de las correcciones de seguridad realizadas en EJBCA 7.3.1.2 .

EJBCA 7.3.1.3

Esta versión de mantenimiento corrige la generación incorrecta de claves de curva elíptica (EC) con parámetros EC explícitos por defecto al usar el proveedor "P11NG". El problema solo afecta a los usuarios de la edición EJBCA eIDAS.

EJBCA 7.3.1.2

Esta versión de mantenimiento resuelve varias vulnerabilidades encontradas en EJBCA durante las pruebas de penetración, y recomendamos que todos los clientes actualicen sus instalaciones si se ven afectadas y no pueden mitigarlas de otra manera.

EJBCA 7.3.1.1

Esta versión de mantenimiento corrige un problema de seguridad cuando se utiliza la inscripción SCEP.

EJBCA 7.3.1

EJBCA 7.3.0

EJBCA 7.2.1.1

Esta versión de parche contiene correcciones para dos problemas:

1. Un problema que impedía las actualizaciones de 7.1.x y anteriores cuando se usaba la protección de base de datos.

2. Se produjo un error cuando la generación del nombre EST se configuró en NOMBRE DE USUARIO.

EJBCA 7.2.1

EJBCA 7.2.0

EJBCA 7.1.0

EJBCA 7.0.1

EJBCA 7.0.0

EJBCA 6.15.1

EJBCA 6.15.0

La versión 6 de EJBCA está llegando a su fin, y el equipo espera con gran anticipación poder brindarles a todos un adelanto de lo que viene con EJBCA 7. Dicho esto, estamos enviando el último lanzamiento de características de EJBCA 6 con una explosión increíble: ¡soporte completo para el protocolo ACME REST!

EJBCA 6.14.1

Esta versión menor de EJBCA 6.14.1 corrige principalmente algunos problemas que algunos usuarios reportaron al ejecutar EJBCA 6.14 en JBoss 7.1.1GA, debido a condiciones de carrera y colisiones de bibliotecas en esa versión que no se detectaron durante las pruebas. También aprovechamos la oportunidad para corregir otros problemas menores que surgieron durante el control de calidad y que creemos que deberían ser útiles por el momento. Para obtener una lista completa de las nuevas características y mejoras implementadas en EJBCA 6.14, consulte las Notas de la versión de EJBCA 6.14 .

EJBCA 6.14.0

Con gran orgullo nos gustaría anunciar el lanzamiento de EJBCA 6.14, uno de los lanzamientos con más características que ha salido en mucho tiempo.

EJBCA 6.13.0

¿Qué pasa? ¿Otra nueva función tan pronto? No se preocupen, todo está bien. En cambio, consideramos que parte del trabajo que hemos realizado en el tronco debería estar disponible lo antes posible.

Esperamos que la mayor cantidad posible de ustedes hayan tenido la oportunidad de probar la herramienta ConfigDump que lanzamos con EJBCA 6.12. Envíenos cualquier comentario disponible que podamos incorporar a futuras versiones.

EJBCA 6.12.0

El equipo de PrimeKey EJBCA se complace en anunciar el lanzamiento de la función EJBCA 6.12, un pequeño pero importante paso adelante en el desarrollo de EJBCA.

Documentación renovada

Hemos trasladado la documentación a Confluence en lugar del antiguo formato xdoc como un primer paso hacia una documentación mucho más organizada, actualizada y fácil de usar.

Los cambios principales a tener en cuenta son que las Notas de la Versión (este documento), el Registro de Cambios y las Notas de Actualización también se han trasladado aquí. Siguen estando disponibles sin conexión desde la carpeta doc del archivo zip de la versión, pero ahora también se publican en línea y se implementan con EJBCA en el servidor de aplicaciones.

Extensiones OCSP configurables

Herramienta de exportación y auditoría de ConfigDump

Nuestra herramienta StateDump para exportar e importar instalaciones se ha rediseñado completamente, y su primera versión ya está disponible públicamente. La nueva herramienta de exportación y auditoría de ConfigDump es útil para la gestión de cambios y la auditoría, y se compila y ejecuta desde la línea de comandos mediante ant configdump .

Los archivos de exportación se ordenan por tipo y se serializan y normalizan como objetos YAML. Las referencias UID se reemplazan por sus nombres legibles.

Capacidades de proxy adicionales en la RA

Como respuesta a la demanda externa, hemos agregado dos nuevas características al RA:

1. La capacidad de representar solicitudes SCEP, tal como ya se hace con CMP y EST

2. Hemos añadido el reenvío de solicitudes de revocación y de estado de revocación mediante SOAP. La lista completa de métodos en el WS EJBCA que pueden ser proxyizados mediante la RA es la siguiente:

• Solicitud de certificado

• comprobarEstadoDeRevocación

• obtenerÚltimaCadenaDeCertificados

• Recuperación de claves

• claveRecuperarInscribir

• revocar certificado

EJBCA 6.11.1

Ya es invierno para nuestro nuevo contenido, que se ha convertido en un glorioso verano gracias al arduo trabajo de nuestros desarrolladores. EJBCA 6.11.1 es una nueva versión menor que incluye nuevas funciones interesantes. Hemos actualizado la biblioteca subyacente BouncyCastle a la versión 1.59, que añade compatibilidad con algoritmos de firma SHA3.

La característica principal de esta versión es una modificación en la gestión de los certificados de proveedor en CMP. Anteriormente, limitábamos la inscripción de los clientes de CMP al mismo DN de sujeto y emisor especificado en el certificado de proveedor, mientras que ahora permitimos la inscripción a varios certificados diferentes basados en el mismo certificado de proveedor. El objetivo de este cambio es poder usar el mismo certificado de proveedor para inscribir un dispositivo con varias claves para diferentes propósitos.

Hemos corregido algunos errores interesantes, entre ellos una pérdida de rendimiento en la visualización de tokens criptográficos en la GUI de CA, algunos problemas menores relacionados con EST y un caso en el que una CA podría fallar incorrectamente una verificación de emisión de CAA para algunos casos especiales.

Al ser una versión menor, esta versión no implica pasos de actualización ni cambios notables en la base de datos.

EJBCA 6.11.0.1

Lanzamiento del parche con correcciones de última hora antes del lanzamiento de Appliance 2.7.2. Los problemas detectados incluyen:

• Un par de regresiones menores en relación con el manejo de perfiles de aprobación en las GUI de CA y RA

• Comprobaciones de reautenticación mejoradas en las GUI de CA y RA

• Permitir que el validador de claves EC pase claves codificadas con el nombre de algoritmo "EC", así como "ECDSA"

EJBCA 6.11.0

En primer lugar, EJBCA 6.11 introduce una característica muy esperada: la compatibilidad con el protocolo EST. Para quienes ya lo saben, EST es un protocolo de inscripción similar a SCEP. Al igual que CMP y SCEP, EST se puede configurar mediante múltiples alias y, al igual que CMP, también permite que las llamadas se redirijan desde una RA a una CA mediante el protocolo Peers.

La segunda característica principal de esta versión es el concepto de Validadores Externos, una función ampliamente solicitada por un gran número de nuestros usuarios empresariales. Un Validador Externo funciona de forma muy similar a los validadores existentes (RSA, CAA, etc.), pero se ejecuta en un objeto de certificado o precertificado y ejecuta un script local en el sistema local.

También hemos añadido algunas funciones para que las instalaciones de VA/RA sean más seguras en la DMZ. Para protegerse contra posibles vulnerabilidades de día cero o de protocolo, hemos añadido la pestaña "Configuración de Protocolo" a la Configuración del Sistema. Desde esta pestaña se pueden deshabilitar todos los protocolos o servlets entrantes. Además, hemos añadido reglas de acceso para prohibir el envío de llamadas CMP y WS desde el RA/VA a la CA a través de pares en caso de que el RA/VA corra el riesgo de verse comprometido. La segunda función de seguridad está relacionada con el Validador Externo, añadiendo un valor de configuración en la Configuración del Sistema que lo deshabilita tanto a él como al Publicador Personalizado de Propósito General. Este valor de configuración está deshabilitado de forma predeterminada, a menos que se esté ejecutando un Publicador Personalizado de Propósito General en la instalación.

Por último, hemos actualizado el VA para que SHA1WithRSA y SHA1WithECDSA ya no sean algoritmos de firma aceptables para un respondedor OCSP; consulte el documento ACTUALIZACIÓN para obtener más información.

EJBCA 6.10.1.1

Versión del parche para ECA-6426, en el que la versión de la base de datos se configuró incorrectamente para instalaciones nuevas.

EJBCA 6.10.1

Esta versión menor introduce un par de nuevas funciones interesantes y, sobre todo, una importante mejora de rendimiento. Hemos añadido extensiones de certificado a los certificados CV; estas se pueden gestionar igual que las extensiones de certificado personalizadas estándar en la Configuración del sistema.

Hemos implementado un cambio importante en la gestión de los registros CT. En la versión 6.10.0, añadimos la opción de que ciertos registros sean obligatorios, anticipándonos a la implementación de la especificación CT actualizada por parte de Google en abril de 2018. En retrospectiva, no estábamos del todo satisfechos con nuestro diseño, por lo que introdujimos el concepto de etiquetas de registro CT para agrupar conjuntos de registros. En lugar de elegir una serie de registros en el perfil del certificado, puede elegir una serie de etiquetas. Tras la emisión, se consultarán todos los registros de esas etiquetas y los primeros n SCT se escribirán en el certificado, donde n es el número máximo de SCT permitidos y habrá al menos un SCT por etiqueta. Si utiliza la opción "Obligatorio" desde la versión 6.10, sus registros se actualizarán automáticamente, lo cual se documenta con más detalle en el documento "ACTUALIZACIÓN".

Hablando de actualizaciones, puede que hayas visto la versión intermedia de EJBCA 6.3.2.6, publicada recientemente para facilitar las actualizaciones desde versiones de EJBCA anteriores a la 5.0. En esta versión, hemos corregido los últimos errores de actualización restantes y prohibido las actualizaciones desde versiones de EJBCA anteriores a la 5.0 para evitar errores en el futuro.

Por último, hemos dedicado tiempo a optimizar la emisión de certificados en EJBCA. En comparación con la versión 6.10, EJBCA 6.10.1 ofrece aproximadamente el doble de rendimiento y la mitad de latencia en nuestro entorno de referencia para grandes volúmenes de emisión de certificados.

EJBCA 6.10.0.2/6.10.0.3

Versión de parche que cubre un problema en el cual un registro comodín en un DNS causaría que fallaran las verificaciones de dominios que no fueran comodines.

EJBCA 6.10.0.1

Esta versión de parche corrige varios casos especiales en la emisión de CAA, una regresión en el proxy CMP donde olvidamos actualizar el nombre de una biblioteca actualizada, así como una regresión menor donde un rol recién creado no aparece como "Personalizado" de manera predeterminada.

EJBCA 6.10.0

Feliz Halloween a todos, nosotros los valientes Khobolds de PKI hemos estado trabajando duro en otro lanzamiento.

Hablando de disfraces, EJBCA 6.10 introduce una función muy útil para la web de la RA: no solo permite subir hojas de estilo y logotipos personalizados a la web de la CA para su uso en la RA, ni configurarlos por rol, sino también transmitirlos a una RA remota mediante el protocolo Peers. Esto significa que la apariencia de una RA ubicada en un país completamente diferente al de la CA se puede modificar desde la CA sin necesidad de reiniciar la RA, y esto se puede hacer para varios usuarios según su rol.

Hablando de sustos, estamos seguros de que nadie pasó por alto la vulnerabilidad de ROCA que se hizo pública este mes. Si bien EJBCA nunca ha utilizado bibliotecas de Infineon para la generación de claves (y, hasta donde sabemos, ninguno de nuestros proveedores de HSM compatibles lo hace), hemos podido firmar claves débiles enviadas desde otras fuentes. Afortunadamente, desde que introdujimos el Validador de Claves RSA en EJBCA 6.9, añadir una comprobación de ROCA también fue sencillo. Para quienes utilizan o planean utilizar la validación de claves RSA, recomendamos encarecidamente activar la comprobación de claves débiles de ROCA.

En el lado de CMP, hemos añadido el concepto de Generación Central de Claves, que permite que una solicitud de un par de claves generado por la CA se transmita y devuelva a través de CMP. Se ha otorgado a la Transparencia de Certificados la capacidad de especificar, además del número mínimo de registros requeridos, en qué registros es obligatorio escribir, anticipándonos a los nuevos requisitos de Chrome que llegarán en 2018. También hemos seguido trabajando en nuestro validador de CAA, resolviendo diversos casos especiales y paralelizando las búsquedas DNS para certificados que contienen varios nombres DNS.

En cuanto a las actualizaciones, nos complace ver que muchas instalaciones antiguas (EJBCA 4.0 y anteriores) están empezando a actualizarse a versiones más modernas de EJBCA. Hemos recibido informes de errores específicos de implementaciones anteriores, que hemos corregido en esta versión. Actualmente, se permite la actualización directa desde EJBCA 5.0.16 o posterior. EJBCA 6.10 no introduce cambios en la base de datos, por lo que actualizar desde 6.9.x no implica pasos de actualización automáticos ni manuales.

EJBCA 6.9.1

Por primera vez en mucho tiempo, lanzamos una versión menor estándar, centrada principalmente en la corrección de errores y la retroalimentación de los usuarios de nuestro Validador CAA. En resumen, hemos mejorado considerablemente la configuración del Validador CAA, permitiendo funciones como incluir algunos dominios en la lista blanca (excluyéndolos de las comprobaciones CAA), ignorar dominios de nivel superior específicos y configurar la profundidad de recursión. También hemos añadido almacenamiento en caché y robustez a las búsquedas DNS para gestionar la limitación de las consultas de resultados de los resolutores. Además, hemos incluido un par de pequeñas mejoras de rendimiento en la emisión de certificados.

Como el estándar CAA aún está en desarrollo, no contamos con que nuestro trabajo en este campo esté terminado todavía, pero por el momento esperamos que todos estén esperando con ansias las nuevas características interesantes que llegarán en EJBCA 6.10 en unas pocas semanas.

EJBCA 6.9.0.6

Versión de parche que corrige problemas con CAA.

EJBCA 6.9.0.5

Lanzamiento del parche para ECA-6107, que solucionó un problema en el cual las búsquedas de CAA no se manejaban correctamente para dominios comodín con subdominios.

EJBCA 6.9.0.4

Versión del parche para ECA-6106, que permite que una búsqueda de CAA continúe en el árbol de dominios incluso si la búsqueda de un subdominio falló.

EJBCA 6.9.0.3

Versión de parche para ECA-6099, donde agregar un EE desde la Web de administración o WS y luego inscribirse usando RA generaría un NPE.

EJBCA 6.9.0.2

Los scripts de creación de bases de datos hacían referencia a PublicKeyBlacklistData en lugar de a BlacklistData.

EJBCA 6.9.0.1

En las últimas etapas de prueba de la versión 6.9.0, detectamos el error ECA-6088, que podría causar problemas de caché en instalaciones con clústeres. Se solucionó antes del lanzamiento de EJBCA 6.9.0.

EJBCA 6.9.0

Saludos a todos y bienvenidos de nuevo después de un largo verano. Justo a tiempo para el lanzamiento de CAA el 8 de septiembre, les presentamos la versión 6.9.0 de EJBCA. En total, hemos corregido unos 90 problemas durante el verano, pero queremos destacar las cuatro características principales de esta versión:

• Generación de Pares de Claves Delegadas: Según lo solicitado por algunos clientes que ejecutan instancias EJBCA como RA sobre pares, esta función es similar a la función de recuperación de claves, utilizada desde hace tiempo en EJBCA, ya que almacena las claves generadas cifradas en la base de datos, pero con el objetivo de que se generen en la RA (en lugar de en la CA). El objetivo es la seguridad: el propietario de la RA no desea que las claves se transmitan a la CA, sino que simplemente se firmen. Dado que esta función requiere una instancia EJBCA ejecutándose como RA, solo aplica a clientes Enterprise.

• Validación de claves RSA/ECC: Una función solicitada desde hace tiempo. Hemos creado una API para ejecutar validadores durante la creación de certificados. En primer lugar, hemos implementado validadores de claves, que pueden aplicarse a una CA para rechazar solicitudes de firma entrantes debido a una longitud de clave insuficiente o a una selección incorrecta de exponentes.

• Validadores de Lista Negra: También hemos desarrollado una API para incluir en la lista negra las solicitudes de firma según información conocida. En EJBCA 6.9.0, implementamos un Validador de Lista Negra de Claves, que compara las solicitudes de certificado entrantes con una lista negra de claves maliciosas definida por el usuario.

• CAA: Por último, y no menos importante, EJBCA 6.9.0 puede realizar comprobaciones de CAA durante o después de la emisión del certificado. Esto se ha implementado parcialmente como un validador (que se ejecuta durante la emisión del certificado) o como una herramienta CLI manual que puede ser utilizada por un administrador de RA después de la emisión. La compatibilidad con CAA es una función exclusiva de Enterprise.

EJBCA 6.8.0.1

Esta es una versión de parche para ECA-6056, donde los perfiles de certificado que usan perfiles de aprobación dejarían de funcionar si se activaba la protección de la base de datos para la tabla CertificateProfileData.

EJBCA 6.8.0

Justo a tiempo para el verano sueco (todos sus tres días), en PrimeKey Solutions nos enorgullece lanzar EJBCA 6.8.0, con un montón de nuevas funciones que esperamos sinceramente que disfruten. En total, se han corregido 190 problemas en esta versión.

En primer lugar, hemos realizado algunos cambios en los roles y las reglas de acceso (consulte el documento de ACTUALIZACIÓN para obtener detalles técnicos). Entre estos cambios y mejoras, destacamos los siguientes:

• La gestión de reglas en la interfaz de administración se ha simplificado con una estructura más simple de Permitir/Denegar/Heredar de la anterior, que consideramos mucho más intuitiva y fácil de visualizar. Las reglas ahora están normalizadas, lo que significa que, al guardarse, el conjunto de reglas se simplifica a la estructura común más simple.

• La página Reglas avanzadas ahora tiene una pantalla Resumen, que muestra solo las reglas establecidas para un rol

• Se ha simplificado la configuración de miembros de roles. Se han codificado operadores de coincidencia para diferentes tipos de valores para que el proceso sea menos propenso a errores.

• Hemos introducido el concepto de Espacios de Nombres de Roles, que permite a los administradores clasificar los roles en grupos. Un administrador que haya iniciado sesión solo podrá ver los roles en el espacio de nombres al que pertenece, mientras que ser miembro de un rol perteneciente al espacio de nombres "en blanco" le da acceso a todos. El objetivo es permitir que varias unidades organizativas utilicen su propia CA, creando cada una sus propios roles con nombres similares, sin interferir entre sí.

• Por último, pero no por ello menos importante, la gestión de roles también se ha incorporado al RA EJBCA, lo que permite a los usuarios de RA que trabajan en un RA proxy administrar sus propios roles sin necesidad de acceder a la CA.

Hablando del RA EJBCA, hemos añadido llamadas a la API para el proxy de solicitudes CMP y un subconjunto limitado de la interfaz WS. Esto permite que el RA actúe como proxy para ambas llamadas CMP de forma mucho más eficiente que el antiguo proxy CMP asíncrono, además de actuar como proxy para la pasarela de inscripción automática de MS, lanzada con EJBCA 6.7.0.

Ahora es posible configurar perfiles de aprobación en CA y perfiles de certificado por acción, lo que permite utilizar un perfil de aprobación para, por ejemplo, agregar o editar entidades finales y otro para revocar.

Algunas contraseñas se pueden configurar para que se almacenen cifradas en la base de datos. A partir de EJBCA 6.8.0, el cifrado se puede configurar con una configuración más segura que la predeterminada modificando password.encryption.key en cesecore.properties. Cambie este valor solo cuando esté seguro de que todos los nodos que almacenarán contraseñas (contraseñas de texto sin cifrar de entidad final y códigos de activación automática de tokens criptográficos) estén actualizados y puedan leer el nuevo formato.

EJBCA 6.7.0.1

Esta es una versión de parche para ECA-5853 , donde la actualización a 6.7.0 desde ciertas versiones de EJBCA falló debido a una NullPointerException en los perfiles de certificado.

EJBCA 6.7.0

Nos complace presentar EJBCA 6.7.0. Esta versión añade soporte oficial para la Inscripción Automática de MS, implementada como un proxy/puerta de enlace de inscripción, que se entrega como un componente independiente. Además, esta versión incluye numerosas correcciones y mejoras de seguridad que solucionan algunas deficiencias y dificultan aún más el uso indebido de EJBCA. En total, se han corregido 82 problemas en esta versión. Los cambios más destacados son:

EJBCA 6.6.4

Esta versión de EJBCA corrige dos problemas relacionados con las actualizaciones en casos específicos.

EJBCA 6.6.3

PrimeKey Solutions se enorgullece de presentar la versión final de EJBCA para 2016: EJBCA 6.6.3. Esta versión corrige nueve problemas menores que estábamos deseando implementar antes de nuestra próxima actualización de funciones prevista para el primer trimestre. Principalmente, corrige problemas que surgieron al usar ExternalRA desde la versión 6.6.0, un error en el script de actualización para bases de datos Oracle y un error que impedía crear CRL en MSSQL.

Al igual que con todas las versiones menores, no se requieren pasos de actualización.

EJBCA 6.6.2

Esta versión de EJBCA corrige un solo problema para mejorar la estabilidad de los envíos de registros de transparencia de certificados.

Esta función solo está relacionada con la emisión de certificados TLS de confianza pública.

Corrección de errores:

• El envío del registro CT podría fallar en determinadas circunstancias cuando no debería

EJBCA 6.6.1

El primer lanzamiento de parche en la rama 6.6, EJBCA 6.6.1, trae algunas correcciones de errores y varias mejoras, tanto en funcionalidad como en rendimiento.

Los cambios más notables son:

EJBCA 6.6.0

PrimeKey Solutions se complace en presentar EJBCA 6.6.0. Siendo la versión con más problemas corregidos hasta la fecha, esta versión de EJBCA 6.6.0 incorpora una arquitectura de RA completamente nueva, incluyendo una nueva interfaz gráfica de usuario (GUI) de RA.

Junto con todas las demás mejoras, correcciones de errores y mejoras de seguridad, este es un gran avance para EJBCA y se han invertido muchos años de trabajo para realizar esta versión.

• Nueva GUI de RA con flujo de trabajo de aprobación configurable y capacidades de edición de administrador.

• La RA puede funcionar como una RA integrada o como una RA externa independiente (EJBCA Enterprise solo está sujeta a una licencia separada).

• Al ejecutarse como una RA externa, solo hay conexiones de red salientes desde la CA, mediante conectores de pares.

• Búsqueda de certificados fácil de usar en la nueva GUI de RA con búsqueda de texto libre tanto en DN del sujeto como en altName (consulte la nota a continuación sobre la búsqueda de altName).

• Control de acceso basado en la ubicación para la nueva RA, diferentes RA pueden tener diferentes accesos combinados con el acceso de los administradores.

• Es fácil configurar privilegios de usuario y administrador para el RA durante la configuración del conector de pares.

• Soporte completo de GUI para el nuevo estándar eIDAS (extensión de declaración de control de calidad en certificados)

• Aprobaciones completamente rediseñadas con aprobaciones múltiples, ordenadas o no, con notificaciones de aprobación flexibles.

• Compatibilidad con nombres alternativos de sujeto RegisteredID (rfc5280), xmppName (rfc6120) y srvName (rfc4985).

• Ahora permite DN de asunto y altName más largos de forma predeterminada en nuevas instalaciones.

• OID CVC adicionales para SHA512 y SHA384

• Agregue soporte para servicios que se ejecutan en todos los hosts para permitir que el servicio Keepalive de HSM se ejecute en todos los nodos de un clúster

• Refuerzo y mejoras de seguridad adicionales

• Muchas correcciones de errores y mejoras

Durante la emisión de certificados X.509, el Nombre Alternativo del Sujeto (ASN) puede almacenarse en una columna de búsqueda de la base de datos. Esta función está habilitada para todos los perfiles de certificado nuevos, pero no para los existentes.

La tabla CertificateData incluye tres nuevas columnas: "notBefore", "endEntityProfileId" y "subjectAltName". Una actualización de CA mediante la publicación directa de bases de datos en VA también requiere cambios de esquema en los VA conectados. Consulte el documento UPGRADE para obtener más información.

EJBCA 6.5.5

EJBCA 6.5.5 es una versión de parche que corrige un error e introduce una mejora. Estas correcciones facilitan principalmente las operaciones de OCSP en ciertas circunstancias.

• La actualización del certificado de CA importado no se conserva en la tabla CertificateData

• Vinculación de clave interna: la importación del certificado no debe utilizar el certificado de CA actual si la clave pública no coincide

EJBCA 6.5.4

EJBCA 6.5.4, un lanzamiento de parche de otoño para la rama hasta ahora estable de EJBCA 6.5, agrega algunas correcciones a problemas que aparecieron durante la producción, así como también dos nuevas características y un par de mejoras.

En total, esta versión contiene 10 correcciones de errores y mejoras.

Características

• Soporte para RegisteredID en el nombre alternativo del sujeto.

• Capacidad de utilizar variables en el asunto del correo electrónico para servicios de vencimiento de correo electrónico.

Mejora: CSCA de la OACI

• El nombre alternativo del emisor ahora se configura automáticamente al crear una nueva CA raíz.

Mejora: OCSP

• Cuando se revocan los certificados de CA, el respondedor de OCSP responderá revocado para los certificados de hoja solo si el motivo de la revocación de la CA indica un compromiso de la CA.

Insectos

• Las solicitudes de revocación de CMP no aprobaron la autorización de la CA, si la CA emisora tenía ordenamiento X.500.

• clientToolbox no se inició al usar PKCS#11 y no había ningún JAVA_HOME configurado.

• La verificación de la protección de la integridad de la base de datos no funcionó para las extensiones de certificado personalizadas.

EJBCA 6.5.3

Justo a tiempo para el solsticio de verano en Suecia, ¿qué mejor que implementar una nueva versión de EJBCA en vacaciones? Esta versión de EJBCA 6.5.3 añade un par de correcciones de seguridad, corrige algunos errores que afectaban a casos excepcionales y mejora la interfaz de línea de comandos (CLI) de la base de datos de EJBCA. Además, incluye una traducción al japonés actualizada. En total, esta versión contiene 14 correcciones de errores y mejoras.

Seguridad

• Solucionar dos problemas de seguridad y ajustar un par de casos que podrían causar una carga innecesaria.

CMP

• Si se emitió utilizando CMP, utilizando la restricción de certificado activo único y publicando en OCSP, las revocaciones no se publicaron en OCSP.

CLI

• Mejore el comando ejbca-db-cli verify para que sea más flexible y potente, y corrija una pequeña falla de documentación en la CLI EJBCA normal.

Interfaz de administración

• Actualizar la traducción al japonés.

EJBCA 6.5.2

Dicen que se acerca el invierno, pero en las oficinas de PrimeKey en Estocolmo parece que aún queda mucho. Mientras trabajamos arduamente en nuestro nuevo conjunto de características para este otoño, nos esforzamos por asegurarnos de que la versión 6.5 de EJBCA sea lo mejor posible en términos de estabilidad y rendimiento. Esta versión hace que EJBCA 6.5.2 sea totalmente compatible con eIDAS, corrige un fallo en CMP introducido en la versión 6.5.1, corrige un problema menor de seguridad y corrige diversas mejoras en la gestión de la entrada de usuario en la interfaz de usuario. En total, esta versión contiene 18 correcciones de errores, características y mejoras.

Interfaz de administración

• Se ha tapado un vector de inyección de script menor.

• Los administradores que intenten iniciar sesión sin tener acceso a un rol (pero que tengan un certificado válido) serán registrados en la auditoría como intentos fallidos.

CMP

• Una corrección de errores en 6.5.1 provocó una falla importante en CMP.

eIDAS

• Se agregó el nuevo atributo ETSI DN "organizationIdentifier"

OCSP

• Los certificados revocados por estar bajo la configuración del perfil de certificado de Restricción de certificado activo único no se publicaron

Lea el registro de cambios completo para obtener detalles y consulte el documento ACTUALIZACIÓN para conocer todos los cambios de funcionalidad y las instrucciones de actualización.

Una selección de problemas conocidos

• Un fallo de prueba en DB2: ECA-3298

• Los perfiles de entidad final no se pueden eliminar en bases de datos de gran volumen: ECA-4158

• Algunos especificadores de clave ECDSA faltan en el menú desplegable para tokens criptográficos que utilizan PKCS#11 después de la actualización de JDK: ECA-4251

• Condición de carrera cuando varios subprocesos de RA solicitan certificados para el mismo usuario: ECA-4347

• ClientToolBox no puede verificar la firma al probar claves EC más exóticas en HSM: ECA-4596

• La exportación de perfiles falla si se habilitan tokens físicos: ECA-5003

• Se requiere acceso root para guardar la configuración del sistema: ECA-5005

• Las combinaciones de teclas no funcionan si hay una CA CVC o una CA no inicializada disponible: ECA-5072

EJBCA 6.5.1

La primavera está en el aire y aquí en PrimeKey estamos ocupados trabajando en una nueva característica muy interesante que se lanzará con EJBCA 6.6.0 en el tercer trimestre de 2016.

Mientras tanto, también hemos trabajado arduamente para corregir errores en nuestra versión 6.5, con el objetivo de asegurarnos de que se solucionen antes de que aparezcan. En total, hemos corregido 35 errores y realizado mejoras para esta versión menor.

Interfaz de administración

• Se solucionó una pequeña fuga de información, hacia el cliente, de la contraseña de entidad final preestablecida.

• Debido al refuerzo implementado en la versión 6.5.0, se omitió la importación de objetos CertificatePolicy con perfiles de certificado. Esto se ha corregido.

• Se han corregido varias páginas que no se representaban correctamente en WildFly 10.

Exportación de registros

• Se solucionó una regresión en CmsCaService debido al cambio del alias de clave de firma para CA en EJBCA 6.4.1/6.5.0

CMP

• Debido a un cambio en la forma en que se guardan las referencias del Perfil de Entidad Final a los alias de CMP, el método obsoleto de configurar el EEP como "KeyID" para admitir el Unid de CMP (lo cual no era posible desde la versión 6.0.0) ya no es compatible. Esto se corregirá en una próxima versión.

RA externa

• Se solucionó un error de almacenamiento en caché en el proxy CMP

• La cadena de firmante y la cadena de emisor del mensaje Proxy CMP se implementaron por error como una sola en 6.5.0.

OCSP

• El Nonce opcional enviado en las solicitudes OCSP se ha limitado a 32 bytes para evitar posibles problemas futuros. Una solicitud que contenga un Nonce mayor de 32 bytes ahora generará un error del servidor OCSP.

Lea el registro de cambios completo para obtener detalles y consulte el documento ACTUALIZACIÓN para conocer todos los cambios de funcionalidad y las instrucciones de actualización.

Una selección de problemas conocidos

• Un fallo de prueba en DB2: ECA-3298

• Los perfiles de entidad final no se pueden eliminar en bases de datos de gran volumen: ECA-4158

• Algunos especificadores de clave ECDSA faltan en el menú desplegable para tokens criptográficos que utilizan PKCS#11 después de la actualización de JDK: ECA-4251

• Condición de carrera cuando varios subprocesos de RA solicitan certificados para el mismo usuario: ECA-4347

• ClientToolBox no puede verificar la firma al probar claves EC más exóticas en HSM: ECA-4596

EJBCA 6.5.0.5

Lanzamiento de un parche para algunos problemas durante la actualización desde EJBCA 4.0, y un parche contribuido para la inscripción automática basada en scripts.

EJBCA 6.5.0.4

Lanzamiento de parche para páginas rotas en WildFly 10 y posteriores a la actualización en la comunidad EJBCA.

EJBCA 6.5.0.3

Lanzamiento de parches para ECA-4931 y ECA-4955

EJBCA 6.5.0.2

Lanzamiento del parche para ECA-4860

EJBCA 6.5.0.1

Lanzamiento del parche para ECA-4862

EJBCA 6.5.0

PrimeKey Solutions se complace en anunciar el lanzamiento de EJBCA 6.5.0. Esta versión se ha centrado principalmente en optimizar la interfaz de usuario y responder a los avances de seguridad en el mundo Java EE de los últimos meses. Durante este período, nos hemos centrado principalmente en el control de calidad, por lo que esta versión es la más estable que hemos lanzado hasta la fecha. En total, hemos corregido 145 nuevas características, errores y mejoras.

Interfaz de administración

• Ahora se pueden configurar los perfiles de certificado para restringir algoritmos clave, curvas (para EC) y longitud de clave.

• Se ha implementado la función "Cambio de nombre de CA" de CSCA de ICAO 9303 7.ª parte 12.

• Se eliminó un posible exploit XML de la web de administración.

• La deserialización se ha reforzado significativamente.

• Se solucionó una posible fuga de información en la web administrativa con respecto a los perfiles de certificados y entidades finales.

• Al rol predeterminado de auditor se le ha otorgado acceso a páginas adicionales en la interfaz de usuario.

Criptografía general

• La biblioteca subyacente BouncyCastle se ha actualizado a la versión 1.54

Documentación

• Se han documentado todos los códigos de retorno y error del servlet CMP.

OCSP

• El respondedor OCSP ahora puede almacenar en caché el estado de revocación de los certificados de cliente (utilizados para firmar solicitudes) durante períodos de tiempo limitados.

RA externa

• CMP Proxy ahora verifica las firmas de los mensajes, HMAC y verifica el estado de revocación de los certificados de firma, lo que libera a la CA de tener que manejar mensajes no autorizados.

Transparencia del certificado

• Los registros CT ahora se pueden enviar a servidores de registro en paralelo.

Lea el registro de cambios completo para obtener detalles y consulte el documento ACTUALIZACIÓN para conocer todos los cambios de funcionalidad y las instrucciones de actualización.

Una selección de problemas conocidos

• Un fallo de prueba en DB2: ECA-3298

• Los perfiles de entidad final no se pueden eliminar en bases de datos de gran volumen: ECA-4158

• Algunos especificadores de clave ECDSA faltan en el menú desplegable para tokens criptográficos que utilizan PKCS#11 después de la actualización de JDK: ECA-4251

• Condición de carrera cuando varios subprocesos de RA solicitan certificados para el mismo usuario: ECA-4347

EJBCA 6.4.2

Esta versión de mantenimiento incluye 4 correcciones de errores y mejoras. A continuación, se muestra una selección de las más destacadas. Actualizar a esta versión no requiere pasos manuales, pero algunas reglas se añadirán automáticamente a los roles de Auditor y análogos existentes.

Interfaz gráfica de usuario

• Error: un backport introducido en 6.4.1 rompió la página de configuración de Transparencia del certificado.

• Mejora: Se ha ampliado el rol de Auditor y ahora tiene acceso de lectura a las Entidades Finales, todas las configuraciones y roles.

• Error: La página del token criptográfico PKCS#11 tenía un formato incorrecto

OCSP

• Mejora: X-Forwarded-For ahora se registra si está presente en las solicitudes OCSP

Lea el registro de cambios completo para obtener detalles y consulte el documento ACTUALIZACIÓN para conocer todos los cambios de funcionalidad y las instrucciones de actualización.

Una selección de problemas conocidos

• Un fallo de prueba en DB2: ECA-3298

• Los perfiles de entidad final no se pueden eliminar en bases de datos de gran volumen: ECA-4158

• Algunos especificadores de clave ECDSA faltan en el menú desplegable para tokens criptográficos: ECA-4251

• Restricción de longitud de clave de perfil de certificado ignorada al crear CA: ECA-4310

• Condición de carrera cuando varios subprocesos de RA solicitan certificados para el mismo usuario: ECA-4347

• El superadministrador estándar aparece como "Personalizado" en la vista de reglas de acceso básicas: ECA-4663

• Las condiciones del registro de auditoría "comienza con"/"termina con" no devuelven resultados: ECA-4677

EJBCA 6.4.1

Esta versión de mantenimiento incluye 14 nuevas funciones, correcciones de errores y mejoras. A continuación, se muestra una selección de las más destacadas. Actualizar a esta versión no requiere pasos manuales.

Mejoras

• La biblioteca Apache commons-collections se ha actualizado a la versión 3.2.2

Corrección de errores

• Se corrigió la verificación de la autorización de CA en el modo CMP RA al usar el módulo de autenticación EndEntityCertificate

• Regresión: Una actualización tecnológica provoca que la información relevante no se muestre en la pantalla de aprobaciones.

• Regresión: Se ha solucionado un problema de usabilidad relacionado con las notificaciones en los perfiles de entidad final.

Una selección de problemas conocidos

• Un fallo de prueba en DB2: ECA-3298

• Los perfiles de entidad final no se pueden eliminar en bases de datos de gran volumen: ECA-4158

• Falta algún especificador de clave ECDSA en el menú desplegable para tokens criptográficos: ECA-4251

• Restricción de longitud de clave de perfil de certificado ignorada al crear CA: ECA-4310

• Condición de carrera cuando varios subprocesos de RA solicitan certificados para el mismo usuario: ECA-4347

EJBCA 6.4.0

EJBCA 6.4.0, nuestra segunda versión importante de 2015, representa un gran avance para EJBCA, ya que introduce numerosas características nuevas y mejora la usabilidad de la interfaz de usuario en general. También hemos intensificado el control de calidad para esta versión, lo que nos da confianza en su estabilidad.

Esta versión principal incluye 134 nuevas funciones, correcciones de errores y mejoras. A continuación, una selección de las más destacadas:

Nuevas funciones

• Se ha añadido un control granular a los elementos DN y SAN en los perfiles de entidad final. Los valores introducidos se pueden controlar mediante expresiones regulares.

• A la mayor parte de la interfaz de usuario se le han otorgado derechos de solo lectura, y se puede crear y desarrollar una nueva plantilla de rol (llamada Auditor) para permitir que un auditor vea pero no modifique.

• Ahora es posible agregar extensiones de certificado personalizadas y usos de clave extendidos sobre la marcha desde la interfaz de usuario, por lo que ya no es necesario reiniciar JBoss cuando se agregan nuevos.

• WildFly8 y WildFly9 ahora son plataformas compatibles.

• Se ha mejorado el procedimiento de actualización y EJBCA ahora registra su propia versión, lo que permite que muchos pasos que antes se realizaban como parte de las actualizaciones manuales se realicen automáticamente. En futuras versiones, las actualizaciones manuales estarán disponibles tanto desde la interfaz de usuario como desde la CLI.

Mejoras

• La configuración del sistema se ha dividido en secciones y pestañas

• La casilla de verificación "Excluir CryptoTokens activos activados manualmente" está marcada de forma predeterminada en la Configuración del sistema, lo que significa que borrar los cachés no desactivará de forma predeterminada todos los tokens criptográficos.

Corrección de errores

• Un problema de XSS

• Se corrigió una NullPointerException cuando se realizó la renovación del certificado de cliente a través de SCEP en determinadas circunstancias.

• La configuración "Permitir fusión de servicios web DN" en el perfil de entidad final provocó que se descartara SAN.

• La deserialización remota de colecciones de certificados de EJB falló en JBoss 7.1.1 GA

• Renovación de certificado de cliente SCEP permitió la renovación de certificados vencidos

• Fuga de información relativa a nombres de usuario de la web pública

• La contraseña de la GUI de ExternalRA se filtró a los registros

Cambios tecnológicos

• Se ha eliminado el soporte para XKMS y ya no está disponible.

• La biblioteca subyacente BouncyCastle se ha actualizado a la versión 1.53

• Se ha abandonado el soporte para JDK6.

• Se ha abandonado el soporte para JBoss5

Aviso de seguridad
La biblioteca Xalan 2.7.1, previamente incluida con EJBCA, presenta un posible problema de seguridad (CVE-2014-0107). EJBCA no utiliza por sí misma las funciones vulnerables de Xalan, por lo que no existe una vulnerabilidad real en EJBCA. De todas formas, hemos decidido eliminar esta biblioteca incluida en EJBCA.

Dado que el servidor de aplicaciones también utiliza Xalan, se recomienda a los usuarios actualizar a JBoss EAP 6.3 o posterior, que incluye la versión más reciente de Xalan. Como alternativa, Red Hat ofrece parches para versiones anteriores de EAP. Para JBoss AS 7.1.1, puede seguir las instrucciones de la guía de instalación para usar las bibliotecas incluidas con EJBCA.

Lea el registro de cambios completo para obtener más detalles.

Una selección de problemas conocidos

• Un fallo de prueba en DB2: ECA-3298

• Los perfiles de entidad final no se pueden eliminar en bases de datos de gran volumen: ECA-4158

• Falta algún especificador de clave ECDSA en el menú desplegable para tokens criptográficos: ECA-4251

• Restricción de longitud de clave de perfil de certificado ignorada al crear CA: ECA-4310

• Condición de carrera cuando varios subprocesos de RA solicitan certificados para el mismo usuario: ECA-4347

EJBCA 6.3.2.5

Esta versión de parche corrige un error e introduce una nueva característica

• Un pequeño error en el que los tokens criptográficos blandos generados durante la creación de CA tenían activada automáticamente la propiedad durante la recarga de caché, incluso si esa propiedad se había configurado como falsa.

• Ahora se puede definir un orden personalizado de DN en los certificados emitidos en los Perfiles de certificado

Lea el registro de cambios completo para obtener más detalles.

EJBCA 6.3.2.4

Esta versión de parche corrige dos errores

• Un problema en la renovación del certificado de cliente SCEP con respecto a la renovación de un certificado con la misma fecha de emisión que su certificado emisor

• Un cambio en la aplicación de las restricciones de certificado activo único, donde los certificados se revocaban por subjectdn + issuer en lugar de por nombre de usuario

Lea el registro de cambios completo para obtener más detalles.

EJBCA 6.3.2.3

Esta versión de parche corrige principalmente errores y agrega funcionalidad faltante con respecto a la renovación del certificado de cliente a través de SCEP.

Lea el registro de cambios completo para obtener más detalles.

EJBCA 6.3.2.2

Esta versión de parche corrige principalmente el problema del componente DirectoryName de subjectAltName que no se incluye en los certificados.

Lea el registro de cambios completo para obtener más detalles.

EJBCA 6.3.2.1

Esta versión de parche corrige principalmente el problema de ciertas curvas elípticas que tienen diferentes nombres legibles para humanos en el JDK y en BouncyCastle.

Lea el registro de cambios completo para obtener más detalles.

EJBCA 6.3.2

Esta versión de mantenimiento incluye 23 nuevas funciones, correcciones de errores y mejoras, además de todas las correcciones realizadas en la versión 6.2.10. A continuación, se muestra una selección de las más destacadas.

La actualización a esta versión requerirá un paso posterior a la actualización.

Nuevas funciones

• La renovación del certificado de CA a través de SCEP se ha implementado de acuerdo con el borrador-nourse-scep-23

Mejoras

• VA Publisher y External RA se han convertido en funciones empresariales

• Se han mejorado los tiempos de construcción.

Lea el registro de cambios completo para obtener más detalles.

Una selección de problemas conocidos

• Un fallo de prueba en DB2: ECA-3298

• Los certificados de CA que utilizan curvas de Brainpool no se pueden importar desde ClI. Sin embargo, la GUI funciona: ECA-4022

• Los perfiles de entidad final no se pueden eliminar en bases de datos de gran volumen: ECA-4158

• Falta algún especificador de clave ECDSA en el menú desplegable para tokens criptográficos: ECA-4251

• No hay encabezado HTTP 'Content-Type' en la página web pública de Renew: ECA-2844

EJBCA 6.2.10

Esta versión de mantenimiento incluye 32 funciones, correcciones de errores y mejoras. A continuación, se presenta una selección de las más destacadas. Esta rama se lanzó en paralelo con EJBCA 6.3.2.

Nuevas funciones

• Se han agregado configuraciones de perfil de certificado para optimizar entornos sin almacenamiento de certificados, tanto para no almacenar certificados en la base de datos en absoluto (como la configuración de CA ya existente) como para escribir todos los metadatos, pero no el certificado en sí.

• Se ha agregado un comando CLI para eliminar editores y todas las referencias a esos editores.

Mejoras

• EJBCA se actualizó a BouncyCastle 1.52

Corrección de errores

• Seguridad: POP no se verificó correctamente en las solicitudes de WebService

• Regresión: HealthCheck se puede volver a configurar automáticamente para nuevas CA

• Regresión: la clave de uso del certificado no era válida cuando se utilizaba la configuración allowKeyUsage en los perfiles de certificado.

• Regresión: el almacenamiento en caché de tokens criptográficos podría provocar que las actualizaciones ad hoc de los respondedores OCSP fallen

• Se solucionó un problema por el cual al eliminar una ranura HSM la GUI quedaba inutilizable.

Lea el registro de cambios completo para obtener más detalles.

Una selección de problemas conocidos

• Un fallo de prueba en DB2: ECA-3298

• Los certificados de CA que utilizan curvas de Brainpool no se pueden importar desde ClI. Sin embargo, la GUI funciona: ECA-4022

• Los perfiles de entidad final no se pueden eliminar en bases de datos de gran volumen: ECA-4158

• Falta algún especificador de clave ECDSA en el menú desplegable para tokens criptográficos: ECA-4251

• No hay encabezado HTTP 'Content-Type' en la página web pública de Renew: ECA-2844

EJBCA 6.3.1

Esta versión de mantenimiento contiene 17 nuevas características, correcciones de errores y mejoras, además de todas las correcciones realizadas en 6.2.8 y 6.2.9.

A continuación se muestra una selección de los más destacados.

Nuevas funciones

• Ahora es posible crear CA y emitir certificados de entidad final a través de la API de servicio web.

• Renovación del Certificado de Cliente SCEP.

• Llamadas API de servicio web para supervisar la expiración del certificado.

• Se ha agregado la restricción de certificado activo único a los perfiles de certificado, lo que permite la revocación automática de certificados antiguos a medida que se emiten nuevos.

Mejoras

• Todos los mensajes del registro de auditoría han sido JavaDoc:ed correctamente.

Lea el registro de cambios completo para obtener más detalles.

Una selección de problemas conocidos

• La GUI de RA externa no puede manejar certificados SubCA con CDP crítico: ECA-2138

• Un fallo de prueba en DB2: ECA-3298

• Regresión: Healtcheck no está habilitado para nuevas CA de forma predeterminada: ECA-3999

• Los certificados de CA que utilizan curvas de Brainpool no se pueden importar desde ClI. Sin embargo, la GUI funciona: ECA-4022

• Los perfiles de entidad final no se pueden eliminar en bases de datos de gran volumen: ECA-4158

• Los parches JDK para RSAWithMGF1 no funcionan en versiones más recientes de Java: ECA-4175

EJBCA 6.2.9

Esta versión de mantenimiento contiene 18 correcciones de errores y mejoras; a continuación se muestra una selección de las más destacadas.

Mejoras

• La característica principal de EJBCA 6.2.9 es una optimización para la firma de certificados que ha reducido el tiempo de firma de certificados en aproximadamente un 10 % para cargas de trabajo bajas y un 70 % para cargas de trabajo intensivas. Las cifras se comparan con EJBCA 5 y EJBCA 6.

Corrección de errores

• Una regresión menor introducida en 6.2.7 donde fallaba el intento de crear un certificado de navegador en la GUI de RA externa.

Una selección de problemas conocidos

• La GUI de RA externa no puede manejar certificados SubCA con CDP crítico: ECA-2138

• Un fallo de prueba en DB2: ECA-3298

• Regresión: Healtcheck no está habilitado para nuevas CA de forma predeterminada: ECA-3999

• Los certificados de CA que utilizan curvas de Brainpool no se pueden importar desde ClI. Sin embargo, la GUI funciona: ECA-4022

• Los perfiles de entidad final no se pueden eliminar en bases de datos de gran volumen: ECA-4158

• Los parches JDK para RSAWithMGF1 no funcionan en versiones más recientes de Java: ECA-4175

EJBCA 6.2.8

El objetivo principal de esta versión ha sido optimizar nuestro respondedor OCSP, solucionar problemas de usabilidad, reforzar la seguridad y realizar pruebas exhaustivas de la interfaz gráfica de usuario. También hemos incorporado una nueva función que puede resultar útil para los usuarios de servicios web.

Esta versión de mantenimiento contiene 42 correcciones de errores, características y mejoras, a continuación una selección de las más destacadas:

Lea el registro de cambios completo para obtener más detalles.

Mejoras

• El respondedor OCSP ha sido ampliamente optimizado.

• El respondedor OCSP ahora almacena en caché los SCT, lo que mejora los tiempos de respuesta cuando se usa la transparencia del certificado.

• EJBCA se ha actualizado para utilizar BouncyCastle 1.51

• El monitor de memoria HealthCheck ahora informa sobre la cantidad total de memoria libre en lugar de la memoria libre asignada.

Nuevas funciones

• Las llamadas de servicio web para emitir certificados ahora pueden anular el orden DN de sujeto predeterminado de EJBCA con el suyo propio.

Corrección de errores

• Se ha solucionado un problema menor de escalada de seguridad que afectaba la denegación de acceso a reglas explícitas.

Una selección de problemas conocidos

• La GUI de RA externa no puede manejar certificados SubCA con CDP crítico: ECA-2138

• Un fallo de prueba en DB2: ECA-3298

• Los certificados de CA que utilizan curvas de Brainpool no se pueden importar desde ClI. Sin embargo, la GUI funciona: ECA-4022

• Se lanza una excepción del decodificador base64 al inspeccionar un CSR especialmente diseñado: ECA-4071

EJBCA 6.3.0

EJBCA 6.3.0 introduce una nueva y potente función para usuarios de Enterprise y Appliance: el protocolo EJBCA Peer System. Su objetivo es permitir la comunicación segura mediante TLS entre instalaciones de EJBCA emparejadas, eliminando la necesidad de publicar directamente en la base de datos para propagar certificados e información de certificados. Esto significa que ahora es posible la comunicación directa y síncrona entre las Autoridades de Certificación y sus Autoridades de Verificación asociadas, lo que también permite verificar el estado de sincronización.

El sistema de pares EJBCA representa un paso adelante en la forma de configurar instalaciones complejas de múltiples sistemas y tenemos grandes esperanzas en lo que podremos hacer posible en EJBCA en el futuro.

Esta es una versión importante con nuevas funciones, correcciones de errores y mejoras. En total, se han corregido 106 problemas.

Cambios notables

• Introducción del protocolo EJBCA Peer System.

• Completamente localizado en francés, gracias a David Carella de Linagora.

Una selección de problemas conocidos

• La GUI de RA externa no puede manejar certificados SubCA con CDP crítico ECA-2138

• Un fallo de prueba en DB2: ECA-3298

• Se sabe que la instalación de Ant falla en máquinas Windows que ejecutan JDK >= 7.21 ECA-3602

• Se utilizó una clave CA incorrecta al descifrar solicitudes SCEP ECA-3807

• La importación de un certificado generado externamente con campos DN vacíos genera un error en ECA-4018

• Los certificados de CA que utilizan curvas de Brainpool no se pueden importar desde la CLI. Sin embargo, la interfaz gráfica de usuario funciona. ECA-4022

EJBCA 6.2.0

Esta es una versión importante con nuevas funciones, correcciones de errores y mejoras. En total, se han corregido 76 problemas.

La novedad más importante de esta versión es una reelaboración de la CLI (interfaz de línea de comandos) local, que la actualiza al estándar más moderno con manejo de opciones y páginas de manual.

Cambios notables

• Manejo de comandos completamente rediseñado de la interfaz de línea de comandos local (CLI) (ver nota 2)

• Ahora es posible importar y exportar perfiles de certificados y entidades finales desde la GUI

• Las máquinas VA se pueden crear utilizando una CRL

• Ahora es posible importar y exportar perfiles de certificado y de entidad final desde la GUI web

• La configuración de SCEP se ha implementado desde la GUI web

Algunos comandos de la CLI han cambiado de nombre, aunque la compatibilidad con los nombres antiguos aún se mantiene. Algunos comandos han tenido que sufrir cambios de sintaxis, como se indica a continuación:

• General: la bandera de contraseña explícita para la contraseña del usuario CLI se ha cambiado a '--clipassword'

Todas las páginas de ayuda de los comandos CLI se pueden invocar con el interruptor '--help'

• CaImportCACommand: el comando realiza dos tareas diferentes según la cantidad de argumentos, que en su mayoría son mutuamente excluyentes y no conmutados, por lo que es imposible identificarlos.

• CaImportCertCommand: Los valores opcionales correo electrónico, perfil de certificado y perfil ee deben usarse con un modificador.

• CaInitCommand: catokenproperties ahora es opcional (no es necesario sustituirlo por null si no se utiliza)

• CaRenewCACommand: El argumento <regenerate keys> se ha convertido en un indicador (-R) y se agregó un modificador para el valor Custom Not Before.

• InternalKeyBindingCreateCommand: El modificador "-property" ya no es necesario. En su lugar, las propiedades opcionales se cargan dinámicamente, pero deben introducirse con un signo "" delante del nombre de la propiedad.

• InternalKeyBindingModifyCommand: Ya no se permiten múltiples "-addtrust" y "-removetrust"; en su lugar, se permite el separador ",". Además, ya no se utiliza la opción --property; en su lugar, las propiedades se cargan dinámicamente y se utilizan como con InternalKeyBindingCreateCommand.

• AddEndEntityCommand - El parámetro de contraseña ahora se ingresa con el indicador --password, si se deja en blanco se solicitará. subjectAltName y email se hicieron opcionales y están equipados con indicadores. CertificateProfile, EndentityProfile y HardtokenIssuyer recibieron indicadores. Las opciones de HardtokenIssuyer no aparecerán en absoluto a menos que se activen los tokens duros.

• Servicios - Los -listFields|-listProperties modificados se han convertido en comandos en su lugar

• ServiceCreateCommand/ServiceEditCommand: las propiedades se envían como un solo comando, al menos hasta que los servicios se puedan refactorizar adecuadamente y volverse más dinámicos.

Problemas conocidos:

• Un fallo de prueba en DB2: ECA-3298

EJBCA 6.1.3

Esta es una versión de mantenimiento con solo correcciones de errores menores. En total, se han corregido cuatro problemas.

Cambios notables

• Se corrigió un pequeño error tipográfico y se realizaron algunas localizaciones en algunos mensajes de la GUI.

• Incorporar algunas correcciones al comando statesump (sólo Enterprise).

EJBCA 6.1.2

Esta es una versión de mantenimiento con solo una corrección de errores. En total, se ha corregido un problema.

Cambios notables

• Se solucionó un problema en el que el enlace de inscripción del navegador se generaba con una codificación incorrecta

Consulte las notas y los problemas conocidos de la versión 6.1.0 a continuación.

EJBCA 6.1.1

Esta es una versión de mantenimiento con algunas correcciones de errores. En total, se han corregido cuatro problemas.

EJBCA 6.1.0 nunca se distribuyó públicamente.

Cambios notables

• Se corrigieron algunas regresiones que impedían que la versión 6.1.0 funcionara de manera óptima.

Consulte las notas y los problemas conocidos de la versión 6.1.0 a continuación.

EJBCA 6.1.0

Esta es una versión importante con nuevas funciones, correcciones de errores y mejoras. Se han corregido 32 problemas en total.
Las novedades más importantes de esta versión son la compatibilidad con las plantillas de control de acceso EAC 2.10, más mejoras de OCSP y mejoras para la recuperación de claves.

Cambios notables

• Mejoras de OCSP y nuevas características relacionadas con RFC 6960, minimizando el tamaño de las respuestas de OCSP (ver nota a continuación).

• Se implementó el algoritmo de firma OCSP, incluidos los algoritmos solicitados por el cliente.

• Los perfiles de certificado CVC (ePassport PKI) ahora admiten plantillas de control de acceso EAC 2.10.

• Mejoras en la recuperación de claves que permiten la renovación de claves de cifrado y brindan más información sobre las claves de cifrado.

• La compilación/instalación de Windows ahora está funcionando.

• ManagementCA creado durante una instalación predeterminada ahora usa SHA256WithRSA.

• EJBCA ahora se compila (sin embargo, no se admite la implementación/ejecución) en WildFly 8 y Glassfish 4, también usando Java 8.

• EJBCA ahora puede usar números de serie de certificados con más de 64 bits de longitud.

• Pequeñas mejoras y correcciones para hacer la vida más fácil para todos.

Nota 1: Las respuestas de OCSP ya no incluyen el certificado de la CA raíz, a menos que esta sea el firmante de OCSP y esté configurada para incluir el certificado del firmante. Mantener las respuestas de OCSP lo más pequeñas posible es una característica importante para el rendimiento, y dado que
El cliente debe tener el certificado raíz como confiable, no es necesario incluir el certificado raíz en la cadena.

Nota 2: En EJBCA 6.1.0, se modificó el nombre del archivo del logotipo de la interfaz web pública. Si ha personalizado su propio logotipo, debe cambiar el nombre del archivo de "logotype.png" o "ejbca_pki_by_primekey_logo.png" a "banner_ejbca-public.png".

Problemas conocidos

• Un fallo de prueba en DB2: ECA-3298

• La verificación del firmante de la solicitud OCSP realiza una búsqueda adicional en la base de datos: ECA-3299

• Las claves primarias mal creadas para la tabla AdminEntityData provocan problemas en algunos casos: ECA-3469

EJBCA 6.0.4

Esta es una versión de mantenimiento con nuevas funciones, correcciones de errores y mejoras. Se han corregido 53 problemas en total.

La novedad más importante de esta versión es la compatibilidad con la transparencia de certificados en EJBCA Enterprise.

Aparte de eso, se han solucionado todos los problemas informados durante las instalaciones de EJBCA 6.0.3.

Una de las correcciones es de seguridad. Este problema de seguridad se considera leve y solo puede provocar un uso excesivo de la CPU si se expone a redes no confiables.

Cambios notables

• Compatibilidad con transparencia de certificados, RFC 6962 (solo EJBCA Enterprise).

• Soporte para JBoss EAP 6.2 que cambió el comportamiento predeterminado al crear fuentes de datos.

• El comando SCEP GetCACaps ahora funciona desde iOS.

• Asegúrese de que las respuestas OCSP RFC5019 con nonces no se almacenen en caché.

• Pequeña mejora en la línea de comandos.

• Se solucionaron la mayoría de los problemas informados en las instalaciones de EJBCA 6.0.3.

Problemas conocidos

• Un fallo de prueba en DB2: ECA-3298

• La verificación del firmante de la solicitud OCSP realiza una búsqueda adicional en la base de datos: ECA-3299

• La implementación en Windows no funciona debido a que los argumentos de jboss-cli.bat difieren de jboss-cli.sh (la mitad corregida, quedan algunos)

EJBCA 6.0.3

Esta es una versión de mantenimiento con correcciones de errores, nuevas funciones y mejoras. Se han corregido 21 problemas en total.

Cambios notables

• Soporte para estado revocado extendido de OCSP compatible con RFC6960.

• Asegúrese de que las respuestas OCSP RFC5019 con código de respuesta desconocido no se almacenen en caché, de acuerdo con las discusiones de CABForum.

• Agregar fecha límite de archivo OCSP para certificados vencidos.

• Aceleraciones al iniciar la interfaz de línea de comandos.

• Corrección de errores en las combinaciones de teclas internas.

Problemas conocidos

• No se puede implementar con los servicios web deshabilitados: ECA-3361

• La implementación en Windows no funciona debido a que los argumentos de jboss-cli.bat difieren de los de jboss-cli.sh

• Un fallo de prueba en DB2: ECA-3298

• La verificación del firmante de la solicitud OCSP realiza una búsqueda adicional en la base de datos: ECA-3299

EJBCA 6.0.2

Esta es una versión de mantenimiento con correcciones de errores y mejoras. Se han corregido 12 problemas en total.

Cambios notables

• Solucionar algunos problemas con la recarga del caché de firma OCSP y mejorarla.

• Corregir la rotación de registros log4j más seguros.

• Soporte para devolución de certificados revocados no emitidos, en lugar de desconocidos (RFC6960).

• Mejoras menores de CMP, incluida la cadena completa en respuestas y una GUI mejorada.

EJBCA 6.0.1

Esta es una versión de mantenimiento con correcciones de errores y mejoras. Se han corregido 13 problemas en total.

Cambios notables

• Mejorar el comando statesump (Enterprise).

• Se corrige el error que provoca que la comprobación de estado de OCSP siempre devuelva un error.

• Pequeña corrección y mejora de seguridad.

EJBCA 6.0.0

EJBCA 6.0.0 es la última versión principal de EJBCA e introduce y redefine varios conceptos fundamentales. Entre ellos, los más importantes son:

Cambios principales

• Se introdujo el concepto de tokens criptográficos para separar las CA de las claves asociadas a ellas. Los tokens criptográficos permiten la reutilización de almacenes de claves entre CA o para otros servicios como OCSP, y simplifican considerablemente la configuración de almacenes de claves, tanto físicos como virtuales.

Para obtener información adicional, consulte la Guía de administración y http://blog.ejbca.org/2013/08/whats-new-in-ejbca-6-part-1-crypto.html

• CMP ahora es totalmente configurable en la interfaz gráfica de usuario (GUI) del administrador, y se pueden usar simultáneamente varias configuraciones de CMP diferentes, denominadas alias de CMP. Para obtener más información, consulte la Guía del administrador y http://blog.ejbca.org/2013/09/whats-new-in-ejbca-6-part-2-cmp-aliases.html

• Existe un nuevo concepto de vinculaciones de claves internas para vincular un token criptográfico a un certificado para diferentes usos, como la firma OCSP y la autenticación TLS. Para más información, consulte la Guía del usuario y http://blog.ejbca.org/2013/10/whats-new-in-ejbca-6-part-3-internal.html

• La fusión de las implementaciones de EJBCA y VA. Las implementaciones de VA ya no son versiones limitadas de EJBCA; en su lugar, toda la funcionalidad de VA se ha fusionado en EJBCA propiamente dicho. Esto permite un único procedimiento de instalación y que una máquina funcione simultáneamente como CA y VA.

Otros cambios notables

• Los servicios OCSP internos ya no se pueden configurar desde la CA, sino que se configuran automáticamente y están siempre activos.

• El código OCSP se ha actualizado al estándar CESeCore

• El flujo de trabajo de instalación y los objetivos de hormigas han cambiado para ser más lógicos para la implementación y la instalación.

• El 'Historial de solicitudes de certificados' ahora está deshabilitado de forma predeterminada para las CA nuevas.

• Los tokens criptográficos PKCS11 ahora se pueden administrar por etiqueta de ranura (además del número de ranura y el índice)

• JBoss 7.1 y EAP 6 ahora son compatibles

• Java 7 es ahora la versión de Java recomendada predeterminada.

Cambios menores

• El término "Grupo de administración" se ha eliminado en su mayor parte y se ha reemplazado por "Rol", al igual que el término "Usuario" se ha reemplazado por "Entidad final".

• Cambios en los perfiles de certificado:

  • El identificador PKIX QCSyntax-v1 de RFC3739 se ha eliminado y nunca se generará.

  • Si "PKIX QCSyntax-v2" en el Perfil de certificado no está marcado, no se generará ningún QCStatement con QCSyntax (nuevo comportamiento).

  • Si se marca "PKIX QCSyntax-v2" en el Perfil de certificado, se generará un QCStatement con PKIX QCSyntax-v2 (igual que antes).

• La CA de administración predeterminada ha cambiado de nombre de AdminCA a ManagementCA.

• Muchas características menores, mejoras y correcciones de errores (se han resuelto más de 300 problemas para esta versión)

Problemas conocidos

• No se borran otras reglas para el rol de Supervisor porque se seleccionó previamente para otro tipo de rol: ECA-3297

• Un fallo de prueba en DB2: ECA-3298

• La verificación del firmante de la solicitud OCSP realiza una búsqueda adicional en la base de datos: ECA-3299

EJBCA 5.0.14

Esta es una versión de mantenimiento con solo correcciones de errores menores. En total, se han corregido dos problemas.

Cambios notables:

• Se soluciona el problema, en algunos casos, al agregar administradores con nombres similares.

• La CA predeterminada en el respondedor OCSP ahora puede manejar DN de CA de cualquier orden.

EJBCA 5.0.13

Esta es una versión de mantenimiento con solo correcciones de errores menores, una de ellas de seguridad. En total, se han corregido cuatro problemas.

El problema de seguridad se considera bajo y solo puede provocar un uso excesivo de la CPU si se expone a redes que no son confiables.

Cambios notables:

• Algunas versiones de MySQL seleccionan un índice incorrecto al mezclar OR y AND, por lo que realizamos dos consultas genéricamente seguras.

• Se corrigió una regresión donde el uso de un archivo de configuración de Sun para PKCS11 (no el caso normal) no funcionaba.

EJBCA 5.0.12

Esta es una versión de mantenimiento que solo incluye correcciones de seguridad.

Se descubrieron dos vulnerabilidades de secuencias de comandos entre sitios en EJBCA y se solucionaron en consecuencia.

Las vulnerabilidades se califican como bajas, con una puntuación CVSS entre 1 y 3 (dependiendo de evaluaciones subjetivas).

La complejidad para explotar las vulnerabilidades se considera alta y requiere conocimiento de la red CA interna, así como ingeniería social o superadministradores internos maliciosos.

Las consecuencias de una explotación se consideran bajas, ya que no se pueden robar credenciales de administrador y se conservan registros de auditoría completos de todas las acciones.

Le recomendamos que evalúe la necesidad de actualizar según su implementación específica de EJBCA. La mayoría de las implementaciones de CA son en gran medida...
inmune debido al aislamiento ambiental.

EJBCA 5.0.11

Esta es una versión de mantenimiento con nuevas funciones, mejoras y correcciones de errores. Se han corregido 12 problemas en total.

Cambios notables :

• Posibilidad de almacenar los datos del certificado Base64 en una tabla separada.

• Se solucionó una posible reversión de la base de datos cuando fallaba la publicación de CRL.

• Soporte para múltiples CA de proveedores en CMP para redes 3GPP/LTE.

• Permite utilizar la etiqueta de token para hacer referencia a las ranuras PKCS#11.

• Admite ECDSA para la renovación automática de claves en el respondedor OCSP.

• Se agregó un nuevo método de recuperación de clave WS para certificados específicos.

• Agregar nombre de host en el registro de inicio.

• Añadir opción de configuración para caracteres prohibidos.

EJBCA 5.0.10

Esta es una versión de mantenimiento con nuevas funciones, mejoras y correcciones de errores. Se han corregido 20 problemas en total.

Cambios notables:

• Se agregaron muchas mejoras de CLI para crear subCA firmadas por CA externas, editar CA y perfiles, y agregar y editar servicios.

• Ahora es posible crear CA mediante la CLI con codificación de clave ECC explícita en el certificado de CA. Útil para instalaciones de pasaportes electrónicos.

• Al crear certificados de enlace, ahora se emiten utilizando el mismo perfil de certificado que utiliza la CA.

• Se mejoró la compatibilidad con la criptografía de curva elíptica (ECC) mediante el protocolo CMP. Ahora puede usar CMP de forma compatible con Suite B.

• El editor LDAP ahora admite la extensión STARTTLS, además de conexiones TLS puras.

• La GUI de inscripción por lotes ahora puede utilizar almacenes de claves JKS, además de almacenes de claves PKCS#12.

• Los mensajes de comprobación de estado ahora se registran en el registro de depuración, para facilitar la resolución de problemas.

EJBCA 5.0.9

Esta es una versión de mantenimiento con mejoras y correcciones de errores. Se han corregido 14 problemas en total.

Esta versión contiene una pequeña corrección de seguridad.

Cambios notables:

• Nuevo subcomando de ClientToolbox: 'batchgenerate'

• Autorización de certificado de proveedor de CMP

• Caché para editores

• EJBCA se compila y se ejecuta en JDK7

• Error de actualización corregido

• La revocación fija no funciona como se esperaba en todas las circunstancias

• Renovación fija que no siempre conserva las claves

• Correcciones de errores menores y mejoras

Tenga en cuenta la actualización de los archivos jar de BC si está utilizando Oracle JDK.

EJBCA 5.0.8

Esta es una versión de mantenimiento con mejoras y correcciones de errores. Se han corregido 12 problemas en total.

Cambios notables:

• Se mejoró la robustez del comando 'ejbca.sh ca importcertdir'.

• Ahora es posible ofuscar la contraseña de la clave del firmante del registro.

• Se corrigió un error con la autenticación del certificado CMP.

• Correcciones de errores menores.

Tenga en cuenta la actualización de los archivos jar de BC si está utilizando Oracle JDK.

EJBCA 5.0.7

Esta es una versión de mantenimiento que solo incluye una corrección de seguridad.

Cambios notables:

• Se solucionó un problema menor de escalada del administrador

Tenga en cuenta la actualización de los archivos jar de BC si está utilizando Oracle JDK.

EJBCA 5.0.6

Esta es una versión de mantenimiento con algunas correcciones de errores, pero también nuevas funciones. En total, se han resuelto 35 problemas.

Cambios notables
- Soporte para la extensión OCSP CertHash alemana para PKI común.
- Agregar límite de frecuencia para consultas de verificación de estado.
- Agregar uso de clave extendido para WiFi EAP.
- Se corrigió la descarga de certificados de CA con carácter más en el DN de CA.
- Se corrigió la recuperación de clave cuando la CA estaba firmada por una CA externa.
- Se corrigieron algunos fallos de actualización al actualizar desde EJBCA 4.
- Se solucionó la reactivación de certificados suspendidos a través de VA-publisher.
- Se solucionó un posible problema de escalada de privilegios para ciertas configuraciones no predeterminadas.
- Se solucionaron muchos otros problemas menores haciendo que la implementación sea más fluida.

Tenga en cuenta la actualización de los archivos jar de BC si está utilizando Oracle JDK.

EJBCA 5.0.5

Esta es una versión de mantenimiento con algunas correcciones de errores y nuevas funciones. En total, se han resuelto 26 problemas.

Cambios notables
- Las recomendaciones del índice han cambiado.
- Ahora se pueden crear CA CVC desde la interfaz de línea de comandos.
- EJBCA ahora admite la localización japonesa
- Se corrigió un error donde las reglas de denegación recursivas causaban denegación para el usuario del sistema.
- El rendimiento general aumenta
- Se eliminó el registro redundante y excesivo en los registros de auditoría.

EJBCA 5.0.4

Esta es una versión de mantenimiento con algunas correcciones de errores y nuevas funciones. En total, se han resuelto 20 problemas.

Cambios notables
- OCSP: Posibilidad de publicar únicamente certificados revocados en la Autoridad de Validación.
- OCSP: Posibilidad de tratar "lo inexistente es bueno" en función del URI en la Autoridad de Validación.
- No permitir la creación de CA utilizando claves débiles.
- Agregar usos de clave extendida de Kerberos.
- Agregar la posibilidad de especificar el perfil del certificado al comando CLI CA init.
- Se corrigen algunas pruebas más en la plataforma Windows.
- Se corrigieron problemas de seguridad menores en la web de administración.
- Se corrigieron algunos problemas cosméticos mejorando la usabilidad.

EJBCA 5.0.3

Esta es una versión de mantenimiento con algunas correcciones de errores y nuevas funciones. En total, se han resuelto 16 problemas.

Cambios notables
- CMP: Ya no es necesario configurar SenderKeyID en la solicitud si no es necesario.
- CMP: KeyUpdateRequest funciona tanto en modo RA como en modo cliente.
- CMP: ahora es posible omitir la verificación de una CertConfRequest si se desea.
- CMP: El proxy CMP ahora puede depurar el registro de mensajes CMP reales.
- Las aprobaciones ahora funcionan cuando las solicitudes de aprobación se crearon mediante la CLI.
- Se corrigieron todas las pruebas que se ejecutaban en las plataformas Glassfish y Windows.
- Se corrigieron algunos problemas menores de XSS y otros errores menores.

EJBCA 5.0.2

Esta versión menor abordó principalmente los problemas que surgieron durante las pruebas manuales para Common Criteria.
Certificación. También se dedicó un gran esfuerzo a estabilizar la versión 5.0.x.

EJBCA 5.0.1

Esta versión menor solucionó principalmente algunos problemas de CMP, una regresión que se introdujo en 5.0.0 y
Soporte para la funcionalidad de RFC4043 y RFC4325.

Cambios notables
- Soporte para identificadores permanentes (RFC4043)
- Soporte para authorityInformationAccess en CRLs (RFC4325)
- Dividir xdocs en dos sitios separados, el sitio ejbca.org y el sitio de documentación
- Documentación de la integración de EJBCA Djigzo

EJBCA 5.0.0

Este importante lanzamiento marca un nuevo paso, ya que EJBCA ahora se basa en el núcleo seguro certificado por Common Criteria: CESeCore.
Las implicaciones negativas de esto para el cliente final deberían ser mínimas, ya que los cambios en la base de datos son pocos y espaciados, y
Hay una ruta de actualización clara desde EJBCA 4.0.x

CESeCore ofrece principalmente dos nuevas características que serán de interés para el usuario final:
- Se ha eliminado el antiguo sistema de registro de auditoría de la base de datos y se ha reemplazado por una nueva función de auditoría de seguridad que es capaz de almacenar registros de auditoría protegidos de integridad en la base de datos.
Se ha incorporado la protección de integridad a las tablas esenciales. Esto significa que las filas de estas tablas no pueden modificarse mediante interacción directa con la base de datos sin invalidarlas.

Además, se ha introducido la siguiente característica:
La interfaz de línea de comandos ahora utiliza autenticación. Los usuarios se extraen de la lista estándar de entidades finales y tienen los mismos roles. Se crea un usuario CLI predeterminado durante el inicio o la actualización para permitir el uso de la CLI sin autenticación.
y se puede desactivar desde la interfaz de administración. Este usuario se define en ejbca.properties.

Para los administradores, vale la pena tener en cuenta los siguientes cambios:
Al actualizar de 4.x a 5.x, las nuevas solicitudes de aprobación creadas en una instancia 5.x no se pueden leer en una instancia 4.x. Por lo tanto, si necesita tiempo de actividad y capacidades de reversión, solo permita la creación de nuevas solicitudes de aprobación desde un host 4.x.
- Se crea un "rol de superadministrador" durante el arranque o la actualización para crear un rol para el usuario CLI predeterminado.
- Los "Grupos de administración" ahora se llaman "Roles". Las tablas de la base de datos relevantes permanecen sin cambios.
- Las 'Entidades de administración' ahora se denominan 'Aspectos de usuario de acceso'.
- A los 'usuarios' ahora se los denomina de forma generalizada 'entidades finales'.
El uso de las reglas de acceso ha cambiado en algunos casos y se han añadido nuevas reglas (editar editores). Tras actualizar a la versión 5.0, verifique sus roles y privilegios.

EJBCA 4.0.16

Esta es una versión de mantenimiento que incluye una nueva función y dos correcciones de errores. En total, se han solucionado tres problemas.

Cambios notables
- Posibilidad de almacenar los datos del certificado Base64 en una tabla separada.
- Se solucionó la posible reversión de la base de datos cuando fallaba la publicación de CRL.

EJBCA 4.0.15

Esta es una versión de mantenimiento que incluye nuevas funciones y mejoras. Se han resuelto cinco problemas.

Cambios notables
- Posibilidad de crear certificados de enlace utilizando el mismo perfil de certificado que la CA.
- El publicador LDAP puede publicar el número de serie del certificado en la clase de objeto especial inetOrgPersonWithCertSerno.
- Agregar las variables faltantes C y UID a los correos electrónicos de notificación al usuario final, por David Carella.

Nota: Hay un cambio en la API de la clase LdapPublisher. Los publicadores personalizados que sobrescriben LdapPublisher deben actualizarse.

EJBCA 4.0.14

Esta es una versión de mantenimiento que incluye nuevas funciones y mejoras. Se han resuelto cinco problemas.

Cambios notables
- Los certificados activos publicados por un publicador de VA que solo publica certificados revocados ya no se almacenan en la cola.
- Los editores se almacenan en caché para mejorar el rendimiento.
- Configuraciones nuevas y corregidas que hacen que EJBCA funcione mejor detrás de un Apache usando ProxyPass, por David Carella.
- Algunas contraseñas ya no se muestran en la consola durante la compilación, por David Carella.

EJBCA 4.0.13

Esta es una versión de mantenimiento que incluye nuevas funciones y mejoras. Se han resuelto 25 problemas.

Cambios notables
- Nuevo flujo de trabajo de auto-registro disponible en la web pública.
- Se agregó el uso de clave extendida para la autenticación WiFi EAP.
- Algunas mejoras de compilación para evitar problemas en algunas plataformas (sin javascript, sin jasper).
- Más mejoras menores en la GUI por David Carella de Linagora.
- Correcciones de errores menores.

EJBCA 4.0.12

Esta es una versión de mantenimiento que contiene algunas características y mejoras nuevas.

Cambios notables
- Posibilidad de renovación de clave de respondedor OCSP externo en momentos absolutos.
- El notificador de vencimiento de certificados ahora puede filtrar perfiles de certificados, no solo CA.
- Un editor para el muestreo de los certificados emitidos.
- Se agregó una salida fácil de usar de las dependencias del perfil del certificado cuando no se puede realizar la eliminación.
- Una nueva herramienta de lenguaje para desarrolladores y localizadores, por David Carella de Linagora.
- La regeneración de claves de OCSP ahora funciona en JBoss 6.1.0 y JBoss EAP5

EJBCA 4.0.11

Esta es una versión de mantenimiento que contiene algunas características nuevas, mejoras en la GUI y compatibilidad con japonés.

Cambios notables:
- Soporte para japonés en la GUI de administración, por OGIS-RI Co.
- Posibilidad de utilizar fechas de revocación personalizadas.
- Posibilidad de utilizar alias en los enlaces de descarga de CRL RFC4387.
- Se corrigió el soporte para caracteres especiales en los nombres de archivos en el comando CLI de perfiles de exportación.
- Mejoras en la interfaz gráfica de usuario de administración para mejorar la apariencia y la consistencia, por David Carella de Linagora.

EJBCA 4.0.10

Esta es una versión de mantenimiento que contiene 1 nueva función de editor VA, 1 corrección de seguridad y mejoras en la GUI.

Cambios notables:
- Posibilidad de publicar únicamente certificados revocados en VA.
- Posibilidad de que OCS gestione "lo inexistente es bueno" de forma diferente según la URI de OCSP.
- Se solucionó el problema de XSS en la GUI de administración.
- Mejoras en la interfaz gráfica de usuario de administración para mejorar la apariencia y la consistencia.

David Carella ha contribuido con muchas mejoras en la GUI en las últimas versiones.
- Los formularios y las tablas están coloreados según reglas consistentes.
- Todos los formularios y tablas están divididos en varias secciones lógicas.
- todos los campos similares (por ejemplo, “[_] Uso”, “[_] Crítico”, “[_] Obligatorio”, “[_] Modificable”, etc.) están alineados verticalmente.
- todas las casillas de verificación (y casillas de opción) se pueden marcar haciendo clic en su etiqueta,
- dos reglas para la ayuda en línea para administradores de PKI y oficiales de RA.
- Los formularios son globalmente más compactos (las alturas de página son menores).
- Los nombres de ciertos objetos son más consistentes en la web.

EJBCA 4.0.9

Esta es una versión de mantenimiento que contiene una corrección de error de seguridad.

Cambios notables
- Se corrigieron problemas de XSS en la GUI de administración.

EJBCA 4.0.8

Esta es una versión de mantenimiento con algunas correcciones de errores y nuevas funciones. En total, se han resuelto 16 problemas.

Cambios notables
- CMP: Ya no es necesario configurar SenderKeyID en la solicitud si no es necesario.
- CMP: KeyUpdateRequest funciona tanto en modo RA como en modo cliente.
- CMP: ahora es posible omitir la verificación de una CertConfRequest si se desea.
- CRL: Descarga de CRL más eficiente
- AdminGUI: Mejora en la apariencia.
- Se corrigieron algunos problemas menores de XSS y otros errores menores.

EJBCA 4.0.7

Esta es una versión de mantenimiento con algunas correcciones de errores y una nueva función. En total, se han resuelto 10 problemas.

Cambios notables
- Se corrigió un error al leer solicitudes OCSP grandes a través de HTTP 1.1 usando codificación fragmentada.
- Se corrigieron algunos problemas menores de XSS.
- Se solucionó un problema por el cual la creación de la Autoridad de Validación (VA) fallaba en plataformas específicas.
La URL de comprobación de estado de VA ahora es la que se indica en el archivo de propiedades. Deberá reconfigurar los dispositivos que monitorean esta URL.
- Integración documentada de EJBCA con Djigzo
- Se agregó un sistema de compilación de complementos.
- Soporte mejorado para chino en la GUI de administración.

EJBCA 4.0.6

Esta es una versión de mantenimiento con algunas correcciones de errores y una nueva función. En total, se han resuelto cuatro problemas.

Cambios notables
- CMP mejorado al soportar solicitudes KeyUpdate en modo cliente.
- Se solucionó la importación de CRL vacía a través de CLI
- Se corrigieron dos errores menores.

EJBCA 4.0.5

Esta es una versión de mantenimiento con algunas mejoras y correcciones de errores. En total, se han resuelto 7 problemas.

Cambios notables
- Comparación correcta de la clave pública en el HSM y el certificado CA
- Se corrigió la regresión durante la republicación.
- Muchas correcciones de errores pequeños.

EJBCA 4.0.4

Esta es una versión de mantenimiento con nuevas funciones y correcciones de errores. Se han resuelto 33 problemas en total.

Cambios notables
- CMP mejorado con muchos nuevos módulos de autenticación tanto en modo cliente como RA, y soporte para contenido anidado
- Soporte para extensiones de certificado personalizadas con valores sin procesar o definidos por RA.
- Muchas correcciones de errores pequeños.

EJBCA 4.0.3

Esta es una versión de mantenimiento con algunas mejoras y correcciones de errores. En total, se han resuelto 5 problemas.

Cambios notables
- Interoperabilidad CMP mejorada, con pequeñas mejoras y correcciones de errores.
- Se corrigió un error que hacía imposible eliminar el perfil de entidad final en ciertas bases de datos, en particular hsql (base de datos de prueba).

EJBCA 4.0.2

Esta es una versión de mantenimiento con numerosas mejoras y correcciones. Se han resuelto 44 problemas.

Cambios notables
- Las optimizaciones internas hacen que esta sea la versión más rápida de EJBCA hasta la fecha, capaz de emitir > 400 certificados/segundo (dependiendo de la configuración).
- La inscripción de certificados ahora también funciona con los navegadores Safari y Chrome.
- Soporte para la extensión de certificado PrivateKeyUsagePeriod.
- Se corrigió un error de zona horaria al emitir certificados CVC donde la fecha se codificaba utilizando la zona horaria local en lugar de GMT en los certificados.
- Más mejoras en la consola de administración y la web pública de David Carella de Linagora.
- Ahora utiliza el formato de fecha ISO8601 de manera consistente al ingresar fechas en la consola de administración.
- Generación automática de números UNID noruegos a partir de solicitudes CMP.
- Muchas pequeñas correcciones de errores y mejoras.

El formato de fecha ISO8601 (aaaa-MM-dd HH:mm:ssZZ) se utiliza en la GUI de administración y en la interfaz WS EJBCA, por lo que los clientes ya no tienen que saber en qué zona horaria se encuentran los servidores de CA.

El formato antiguo (en configuración regional de EE. UU.) seguirá funcionando para las solicitudes entrantes en el WS, pero cualquier UserDataVOWS devuelto que contenga una fecha de inicio y finalización personalizada utilizará el nuevo formato.

Si obtiene un "java.lang.NoSuchMethodError" en la GUI de administración es porque JBoss no limpia muy bien los archivos temporales.

Elimine los directorios JBOSS_HOME/server/default/tmp y JBOSS_HOME/server/default/work y reinicie JBoss para que funcione.

EJBCA 3.11.5

Esta es una versión de mantenimiento que contiene una corrección de error de seguridad.

Cambios notables
- Se corrigieron problemas de XSS.

EJBCA 3.11.4

Esta es una versión de mantenimiento que contiene una corrección de error de seguridad.

Cambios notables
- Se corrigieron problemas de XSS en la GUI de administración.

EJBCA 3.11.3

Esta es una versión de mantenimiento que contiene 3 correcciones de errores.

Cambios notables
La inscripción de certificados ahora también funciona con los navegadores Safari y Chrome. (Adaptación de EJBCA 4.0.2).

EJBCA 3.11.2

Esta es una versión de mantenimiento que contiene 11 correcciones de errores y 12 nuevas características/mejoras.

Cambios notables
- Varias correcciones de errores
- Mayor compatibilidad de algoritmos en HSM PKCS11
- Se agregó un servicio web basado en RA escrito por Daniel Horn
- Posibilidad de desactivar la interfaz de línea de comandos
- Nuevos comandos CA CLI para importar CRL y certificados que son útiles al migrar a EJBCA

EJBCA 4.0.1

Esta es una versión de mantenimiento: solo se resolvió un problema.

Cambios notables
- Se solucionó el error al realizar el registro del navegador web con Internet Explorer.

EJBCA 4.0.0

EJBCA 4 utiliza Java Enterprise Edition (JEE) 5 en lugar de J2EE. Esta versión supone una mejora importante en el núcleo, la modularización, la portabilidad y el empaquetado, pero no notará muchas funciones.
diferencias.

El esquema de la base de datos está completamente definido a través de la API de persistencia de Java y se proporcionan scripts de creación de tablas para todas las bases de datos compatibles.

La base de datos Ingres ahora se puede utilizar con EJBCA sin parchear el código.

Se han corregido muchos errores. Por ejemplo, los servicios EJBCA funcionarán de forma más estable en un entorno de clúster.

Se ha modificado la interfaz ICustomPublisher eliminando el parámetro number del método storeCRL. Es necesario modificar cualquier clase personalizada que implemente esta interfaz.

Se requiere Java 1.6 y Ant 1.7.1 o superior a partir de esta versión.

Para obtener instrucciones de actualización, consulte ACTUALIZAR y consulte las instrucciones de instalación para obtener notas sobre cómo configurar su servidor de aplicaciones.

Problemas conocidos (consulte el rastreador de problemas de EJBCA para obtener una versión más actualizada):
La validación de firma XKMS no funciona. (ECA-2078)
La reconfiguración de claves de OCSP en JBoss 6.0.0.FINAL no funciona. (ECA-2077)

EJBCA 3.11.0

Esta es una versión importante con varias características nuevas: se han resuelto 47 problemas.
Un objetivo principal de esta versión es preparar una migración fluida a EJBCA 4.0. Para simplificar la migración a EJBCA 4.0 con una actualización de complemento, EJBCA 3.11 introduce cambios en la base de datos necesarios para que el esquema sea totalmente compatible y consistente en todas las bases de datos compatibles.

La actualización a EJBCA 3.11 debería ser sencilla como siempre, solo siga las instrucciones en doc/UPGRADE.

Cambios notables
- Posibilidad de configurar la CA para no utilizar el almacén de certificados y usuarios, lo que significa que la CA puede emitir certificados sin tener que acceder a la base de datos después del inicio del servicio.
- El respondedor OCSP externo ahora puede funcionar como una autoridad de validación que brinda servicio a certificados OCSP, CRL y CA.
- Acceso al almacén de certificados mediante HTTP según el estándar RFC4387.
- Posibilidad en la interfaz WebService de especificar información ampliada al editar usuarios.
Posibilidad de especificar un número de serie de certificado personalizado para entidades finales que utilizan el protocolo CMP. El secreto de RA de CMP ahora también se puede especificar por CA.
- Actualizar el esquema de la base de datos para que sea consistente en todas las bases de datos.
- Agregar algunas columnas nuevas a las tablas de la base de datos, una preparación para ser utilizada en EJBCA 4.0.
- Mejoras en el soporte de Glassfish, ahora también utilizable con bases de datos Oracle.
- Varias otras características nuevas y usos extendidos de teclas, mejoras de GUI y mejoras de rendimiento, muchas de las cuales son aportadas por Linagora.

Notas importantes
Si tiene una base de datos muy grande (más de un millón de certificados emitidos), probablemente no pueda ejecutar automáticamente los scripts de actualización del esquema de la base de datos, pero desea un mejor control de los cambios. Puede ejecutar las sentencias SQL de actualización manualmente. Puede encontrarlas en src/upgrade/310_311, con un archivo SQL específico para su base de datos.

2. El módulo de respuesta externa de OCSP incorpora muchas funciones adicionales en esta versión. Esto ha provocado algunos cambios en el archivo de configuración. Consulte la documentación de instalación de VA. En concreto, la configuración de la fuente de datos de CA Publisher se ha trasladado de ocsp.properties a va-publisher.properties, una ubicación mucho mejor. La configuración de la comprobación de estado se ha trasladado de ocsp.properties a va.properties.

3. El esquema de la base de datos ha cambiado. Si ejecuta un respondedor OCSP externo, el esquema de la base de datos también debe actualizarse para que el publicador VA/OCSP funcione. Las dos nuevas columnas, rowVersion y rowProtection, no necesitan ningún valor específico.

4. El mensaje de error cuando falla la publicación ha cambiado de "ERROR DE OCSP EXTERNO" a "ERROR DE AUTORIZACIÓN DE VALIDACIÓN". Si tiene scripts que lo monitorizan, debe actualizarlos.

EJBCA 3.10.6

Esta versión es una versión de mantenimiento muy pequeña para marcar el final de la rama 3.10, anticipando el lanzamiento de la versión 3.11.0 dentro de unos días.
Si está ejecutando 3.10.5 sin problemas, no hay ninguna razón real para actualizar a 3.10.6.

Cambios notables
- Ahora se puede agregar información extendida, como el motivo de revocación de la emisión, al editar usuarios con la API de WebService.

La versión también corrige cuatro errores menores o exóticos.

Nota: El WSLD del servicio web ha cambiado para agregar ExtendedInformation en el objeto UserDataVOWS.
Los clientes WS antiguos que no tengan esto deberían seguir funcionando y hemos probado con clientes EJBCA más antiguos.
Sin embargo, si depende de WS-API, debe realizar pruebas en su entorno antes de poner esta nueva versión en producción.

EJBCA 3.10.5

Esta es una versión de mantenimiento con 37 problemas resueltos, tanto funciones como correcciones de errores.

Cambios notables
- Se corrigió el error de la GUI de administración al ejecutarse en JBoss 5.
- Se solucionaron algunos problemas con la auditoría y las aprobaciones al usar certificados de administrador emitidos por una CA externa.
Interfaz de usuario de administración armonizada y diseño mejorado. Contribución de David Carella de Linagora.
- Se agregaron y mejoraron cachés de perfiles y CA, lo que mejora el rendimiento. CLI para borrar cachés.
- Se solucionó el problema de instalación en Windows cuando JBoss se instaló en el directorio raíz.
Se solucionó la republicación de certificados cuando no se utiliza CertReqHistory. CertReqHistory está habilitado de forma predeterminada para las nuevas CA.
- Traducción al alemán actualizada, aportada por Atos Origin.
- Admite la anulación de la revocación mediante WS-API.

Se han realizado muchos cambios en la interfaz de administración en esta versión. Por favor, avísenos si encuentra algún problema al usarla.

EJBCA 3.10.4

Esta es una versión de mantenimiento con 23 problemas resueltos, tanto funciones como correcciones de errores.

Cambios notables
- Posibilidad de especificar un número de serie de certificado personalizado para entidades finales.
- Posibilidad de configurar CA para no utilizar CertReqHistory para aumentar el rendimiento.
Interfaz de usuario de administración armonizada y diseño mejorado. Contribución de David Carella de Linagora.
- Otras optimizaciones de rendimiento. Ahora se pueden emitir más de 100 certificados por segundo bajo ciertas condiciones.
- La API de WS no funcionó con certificados de administrador externo.
- Mitigar posibles vulnerabilidades XSS en la GUI de administración.
- Se corrigió un error al crear CRL para CA con comillas simples en el DN.
- Otras mejoras en la GUI de administración con mejores mensajes de error en algunos casos.

Un problema conocido de la versión 3.10.4 es https://jira.primekey.se/browse/ECA-1779

EJBCA 3.10.3

Esta es una versión de mantenimiento con solo 6 problemas corregidos.
El lanzamiento se realizó principalmente para corregir una regresión para las CA EAC CVC que utilizan claves ECC.

Cambios notables
Los verificadores de documentos CVC de EAC que usaban claves ECC no funcionaban correctamente. Esto se solucionó y se añadieron nuevos casos de prueba al conjunto de pruebas.
- Se eliminó el requisito de utilizar "Generación por lotes" al utilizar el modo CMP RA.
- Se solucionó el problema por el cual la revocación en la interfaz gráfica de administración no funcionaba con CA que usaban caracteres acentuados.
- Se añadió código para mitigar posibles ataques de scripts entre sitios en la interfaz de administración. Cabe destacar que la autenticación con certificado de cliente seguía siendo necesaria, por lo que no era vulnerable a ataques de vulnerabilidades públicas.
- Se añadió la codificación URI UTF-8 para el puerto http público (8080). Anteriormente, solo estaba habilitada para los puertos https.

EJBCA 3.10.2

Esta es una versión de mantenimiento con nuevas características, mejoras y varias correcciones de errores. Se han resuelto 36 problemas en total.
Con esta versión 3.10.2 es la versión preferida para todas las instalaciones.
Creemos que la mayoría de las regresiones resultantes de la gran reestructuración en 3.10.0 están resueltas.

Cambios notables
- Módulo proxy CMP.
- Se mejoró el aislamiento y el rendimiento de las transacciones en CMP.
- Mejoras para JBoss 5.
- Posibilidad de aplicar un número de serie SubjectDN único.
- Marco para la validación del contenido de los campos de entidad final.
- Se corrigieron algunas regresiones en la GUI de administración relacionadas con la certificación cruzada y los certificados CV.
- Es posible definir un CN personalizado del superadministrador durante la instalación.
- Actualizar perfiles de inicio de sesión de tarjetas inteligentes de Windows predefinidos.
- Muestra la hora del servidor en la primera página de la GUI de administración.
- Supervisión de la validez del certificado del respondedor OCSP en el respondedor OCSP independiente.
- Muchas correcciones de errores menores relacionados con la gran reestructuración en 3.10.0.
- Pequeñas mejoras de seguridad.

En EJBCA 3.10.2 se revisó levemente el manejo de excepciones para NotFoundExceptions cuando un usuario no existe.
Esto afectó algunas llamadas a la API de WS (findCerts, getLastCertChain y getHardTokenData). El comportamiento de los métodos no ha cambiado, pero si
Si tiene un sistema para gestionar estos errores, debería verificarlo de todos modos. Se ha actualizado Javadoc donde antes no estaba claro.

EJBCA 3.10.1

Esta es una versión de mantenimiento con algunas características nuevas, algunas mejoras y varias correcciones de errores. Se han resuelto 33 problemas en total.

Cambios notables :
- Nuevos métodos WS-API para la renovación de CA. Esto permite la automatización de SPoC en una PKI de pasaporte electrónico de la CAE.
- Nuevo módulo proxy CMP que le permite tener un servidor separado que finaliza las conexiones CMP y luego las reenvía a la CA.
- Posibilidad de renovar CAs sin activar nuevas claves, permitiendo que la CA continúe funcionando hasta que se importe un nuevo certificado.
- Soporte para el algoritmo de firma SHA384WithECDSA.
- Implementación fija en JBoss EAP 5.0.0.
- Se corrigió un error en la GUI de administración con problemas para seleccionar privilegios para administradores de RA.
- Se corrigieron algunos problemas con la CLI y la renovación de CA vencidas.
- Se corrigió un error con CLI para obtener CRL delta.
- Otras correcciones de errores menores.

Tenga en cuenta que hay una nueva regla de acceso para "Renovar CA". Un administrador con privilegios de renovación de CA puede renovar la CA e importar la respuesta del certificado (desde una CA externa). Anteriormente, solo los superadministradores podían hacerlo.
Los administradores de CA tienen este nuevo privilegio por defecto. Si no desea que lo tengan, puede deshabilitarlo en el modo avanzado, en la sección de edición de privilegios de la interfaz gráfica de usuario del administrador.
Los nuevos privilegios se pueden utilizar junto con las nuevas funciones WS-API y CLI para renovar CA específicas.
Para estar autorizado, el administrador necesita el nuevo privilegio "Renovar CA" y estar autorizado para las CA específicas.
Los métodos en CAAdminSessionBean que han cambiado sus privilegios son renewCA, makeRequest y receiveResponse.

EJBCA 3.10.0

Esta es una versión importante con muchas reorganizaciones internas, nuevas características y correcciones.

NOTA:
A un usuario que solicita un certificado con la misma clave pública o DN de sujeto que un certificado existente emitido a otro usuario, se le deniega el certificado. Si esto causa algún problema en su instalación, puede desactivar cualquiera de estas comprobaciones en la página "Editar CA". Puede obtener más información en la guía del usuario.

Cambios notables
- Reestructuración y refactorización para mejorar la capacidad de mantenimiento, prepararse para el lanzamiento de EJBCA 4 y la certificación Common Criteria.
- Método de servicio web para la creación o actualización de un usuario y creación de un certificado en una sola transacción.
- Aplicación de claves públicas únicas y DN de sujeto.
- Nueva GUI de API de RA externa para la inscripción del navegador sin tráfico entrante a la CA.
- Soporte para Ingres 9.3.

Esta versión elimina la clase JCE de SafeNet Luna para su uso como token de CA. Ahora debe usar el tipo de token de CA PKCS#11, más genérico y probado.
El uso de tokens CA PKCS11 está bien documentado en la Guía del administrador.

EJBCA 3.9.10

Esta es una versión de mantenimiento con una corrección incorporada de la versión 4.0.

Cambios:
- Mejor manejo de órdenes DN X.500 con múltiples atributos (por ejemplo, DC, OU)

EJBCA 3.9.9

Esta es una versión de mantenimiento con una nueva característica y algunas correcciones incorporadas desde la versión 3.10.

Cambios:
- Ahora se puede agregar información extendida, como el motivo de revocación de la emisión, al editar usuarios con la API de WebService.
- Se agregó URIEncoding correcta también para el puerto 8080 en server.xml de Tomcat.
- Se solucionó el problema de escape del HTML del DN de CA del emisor al revocarlo a través de la GUI de administración.

Nota: El WSLD del servicio web ha cambiado para agregar ExtendedInformation en el objeto UserDataVOWS.
Los clientes WS antiguos que no tengan esto deberían seguir funcionando y hemos probado con clientes EJBCA más antiguos.
Sin embargo, si depende de WS-API, debe realizar pruebas en su entorno antes de poner esta nueva versión en producción.

EJBCA 3.9.8

Esta es una versión de mantenimiento con solo tres correcciones.

Cambios:
- Supervisión del tiempo de validez de los certificados de firma para el respondedor OCSP.
- El CAR de un Certificado CV puede contener un número de secuencia incorrecto (lo que hace que el CAR sea incorrecto).
- La actualización puede provocar que se habilite la opción "usar acceso a la información de autoridad" aunque antes no lo estuviera en el perfil del certificado.

EJBCA 3.9.7

Esta es una versión de mantenimiento con solo cuatro correcciones.

Cambios notables
- Se corrigió un error al crear DV firmados por CVCA externos (solo pasaporte electrónico EAC).
- Proporciona un mejor mensaje de error cuando se pasa la misma clave pública en la solicitud CVC inicial (solo pasaporte electrónico EAC).
- Registrar el inicio y el apagado del respondedor OCSP.
- Se corrige una posible NullpointerException en EjbcaWS.getAvailableCertificateProfiles.

EJBCA 3.9.6

Esta es una versión de mantenimiento con dos nuevas características y cinco correcciones menores.

Cambios notables
- Nuevos métodos WS-API para la renovación de CA. Esto permite la automatización de SPoC en una PKI de pasaporte electrónico de la CAE.
Al renovar las claves de CA para las CA firmadas por CA externas, ahora puede optar por no activar las nuevas claves. Esto permite que sus CA sigan funcionando sin interrupciones hasta que se reciba e importe una respuesta del certificado.
- Se corrigen errores al utilizar notificaciones de aprobación.
- El comando cli getcrl ahora también puede recuperar CRL delta.
- Otras dos correcciones menores para la renovación de CA.

Tenga en cuenta que hay una nueva regla de acceso para "Renovar CA". Un administrador con privilegios de renovación de CA puede renovar la CA e importar la respuesta del certificado (desde una CA externa). Anteriormente, solo los superadministradores podían hacerlo.
Los administradores de CA tienen este nuevo privilegio por defecto. Si no desea que lo tengan, puede deshabilitarlo en el modo avanzado, en la sección de edición de privilegios de la interfaz gráfica de usuario del administrador.
Los nuevos privilegios se pueden utilizar junto con las nuevas funciones WS-API y CLI para renovar CA específicas.
Para estar autorizado, el administrador necesita el nuevo privilegio "Renovar CA" y estar autorizado para las CA específicas.
Los métodos en CAAdminSessionBean que han cambiado sus privilegios son renewCA, makeRequest y receiveResponse.

EJBCA 3.9.5

Esta es una versión de mantenimiento con correcciones y mejoras menores.

Cambios notables
- Se corrigió una regresión de rendimiento para el servicio OCSP que podía reducir el rendimiento de 400 a 200 solicitudes/s.
- Se agregó el parámetro de tiempo de proceso al registro de transacciones de OCSP.
- Se corrigió y mejoró el uso del proveedor opcional IAIK PKCS#11.
- Mejorar el manejo de secuencias para CA EAC CVC.
- Se corrigió un error al renovar claves de CA en HSM.
- Se solucionó el problema por el cual no se podía usar un punto en los nombres de usuario preestablecidos en los perfiles de entidad final.
- Se agregó la posibilidad de instalar directamente con CA de administrador externo, inicializando el módulo de autorización en el comando cli importcacert.
- Se agregó la posibilidad de solicitar la contraseña del almacén de claves durante la instalación para que nunca tengas que escribirla en ningún lado.

EJBCA 3.9.4

Esta es una versión menor con solo unas pocas correcciones menores.

Cambios notables
- Se corrigió un error en el cual el respondedor OCSP no devolvía el estado correcto para los certificados archivados (vencidos).
- Se corrigió una regresión para el token CA JCE de SafeNet (obsoleto).
- Se corrigió una regresión donde no se podían renovar las CA vencidas
- No es posible renovar las claves CA ECC blandas en la GUI de administración
- Todos los archivos de idioma ahora están codificados en UTF-8
- Se corrigieron casos especiales en los que se podían publicar CRL y certificados falsos en LDAP.

EJBCA 3.9.3

Esta es una versión menor pero repleta de nuevas características y correcciones menores; se han resuelto 41 problemas.
Algunas características y opciones menores y algunas correcciones de errores y estabilizaciones.

Cambios notables
- Se corrigió una regresión en 3.9.2 donde no se podían cargar archivos en la GUI de administración.
Los perfiles de certificado ahora pueden especificar un algoritmo de firma diferente al de la CA. Resulta útil para iniciar la migración de CA SHA1 a la emisión de certificados SHA256.
- Posibilidad de utilizar parte de los datos del usuario en el DN LDAP pero no en el DN del certificado al publicar el certificado en LDAP.
- Posibilidad de establecer una fecha de finalización fija de los certificados en el perfil de certificado y en la configuración de CA.
- Posibilidad de configurar varios servicios de notificación de caducidad de certificados, notificando en diferentes momentos, es decir 30 días, 7 días, etc.
- Inscripción del navegador probada con Windows 7.
- Mejoras y correcciones de ECC para CA y HSM, claves de renovación de CA, importación de CA, curvas de brainpool, parámetros de EC explícitos, clientToolBox, etc.
- Mejora de la interfaz gráfica de usuario (GUI) de administración con un menú de navegación y CSS más atractivos. Contribución de Linagora, Francia.
- cert-cvc: Se corrigió la rara posibilidad de obtener una codificación incorrecta de los puntos EC en los certificados. Contribuido por DGBK, Países Bajos.
- Correcciones y mejoras de CVC CA para EAC PKI, aprobaciones, importación de CA, corrección del comando de información de CLI, .cvcert en lugar de .crt al descargar certificados, etc.
- No publique certificados para servicios de CA inactivos en LDAP.
- Se solucionó que la renovación de claves de CA en la GUI de administración no recargara todos los tokens de CA.
- Se corrigió un error OutOfMemory que se producía cuando no se podían publicar CRL grandes con un error de conexión cerrada.
- Soluciona problemas de descarga con IE para almacenes de claves de CA exportados.
- Muchas pequeñas optimizaciones, correcciones y mejoras.

EJBCA 3.9.2

Esta es una versión menor pero repleta de nuevas características y correcciones menores; se han resuelto 38 problemas.
Algunas características y opciones menores y muchas correcciones de errores y estabilizaciones.

Cambios notables
- Firmar y verificar archivos con clientToolBox cuando la clave privada se almacena en un HSM.
- Es posible limitar las claves de firma para un respondedor OCSP externo a claves dentro de un conjunto de alias de claves.
- Agregar soporte para el uso extendido de claves del firmante TSL
- Utilice un análisis mejorado del período de validez en los perfiles de certificado
- Agregar opción para usar la cola de editores o no para CRL y certificados
- Extensión de políticas de aplicaciones de documentos MS
- Correcciones para ejbcaClientToolBox.bat para la plataforma Windows
- Tiempos de espera para que los publicadores LDAP gestionen servidores LDAP inestables
- Para el problema en el que el servicio CRL puede dejar de funcionar si la base de datos se detiene durante un período determinado
- Cambio para que el Punto de distribución de emisión en las CRL no se utilice de forma predeterminada en la configuración de CA
- Se solucionó el problema al utilizar el proveedor IAIK con varias CA
- Se soluciona la revocación lenta si un usuario tiene muchos certificados
- cert-cvc: obtener la fecha de vencimiento devuelve 00.00 horas pero significa que es válida todo el día
- cert-cvc: codificación incorrecta de puntos EC en certificados en casos excepcionales donde affineX y affineY no tienen el mismo tamaño
- Muchas pequeñas optimizaciones, correcciones y mejoras.

EJBCA 3.9.1

Esta es una versión menor pero repleta de nuevas características y correcciones menores; se han resuelto 46 problemas.

Cambios notables
- Mejoras en el proceso de inscripción pública, incluida la renovación automática.
- Capacidad de especificar aprobaciones en perfiles de certificados.
- Lista configurable de usos de teclas extendidas.
- Actualización dinámica de max-age y nextUpdate para respondedores OCSP, también por perfil de certificado.
- En el servicio de actualización de CRL puede seleccionar para qué CA generar CRL.
- Es posible programar CRL con una frecuencia mayor a cada hora.
- Posibilidad de eliminar la clave CA blanda y posibilidad de volver a importarla.
- Posibilidad de eliminar contraseñas de los archivos de propiedades.
- Soporte para puntos de distribución de CRL con URI que contienen punto y coma.
- Registro de transacciones para la emisión de certificados de servicio web.
- Posibilidad de especificar cualquier CA en los perfiles de entidad final.
- Configuración más flexible de validez de CA, años, meses días.
- Mensaje de error mejorado en la GUI cuando falla la activación de HSM.
- Muchas pequeñas optimizaciones, correcciones y mejoras.

EJBCA 3.9.0

Esta es una versión importante que agrega muchas características y mejoras nuevas y corrige numerosos errores.
Se han resuelto 126 problemas en esta versión. Consulta el registro de cambios; es muy probable que tu problema favorito ya se haya resuelto.

Cambios notables
- Compatibilidad con CA que utilizan claves DSA. EJBCA ahora es compatible con los algoritmos principales: RSA, DSA y ECDSA.
Mejoras en las RA externas. El servicio CA, que se ejecuta como un servicio EJBCA, ofrece funcionalidad completa de clúster y compatibilidad con múltiples RA externas. Además, ahora es mucho más fácil de instalar y configurar.
- Mecanismo de republicación robusto para publicadores que fallan, ejecutándose como un servicio EJBCA.
- Mejoras en el respondedor OCSP con mejoras de rendimiento y soporte para la renovación en línea de claves y certificados del respondedor OCSP.
El respondedor OCSP externo ahora puede saturar HSM de alto rendimiento.
- Herramienta de monitoreo OCSP para monitorear la sincronización entre EJBCA y respondedores OCSP externos.
- GUI para configurar el publicador OCSP externo con nuevas opciones.
- Es posible cambiar las claves de firma de OCSP en un respondedor OCSP externo en ejecución.
- Nuevos comandos y pruebas de estrés en la caja de herramientas del cliente.
- Una nueva página de inicio con interfaz gráfica de usuario web de administración con paneles de descripción general del estado.
- Posibilidad de configurar el estado de los certificados emitidos para entidades finales, es decir, emisión de certificado revocado “en espera”.
- Nuevo atributo DN, Nombre.
- Mejora del rendimiento mediante el almacenamiento en caché y la reducción del número de consultas a la base de datos.
- XKMS ahora también funciona en Java 6.
- Posibilidad de establecer el tiempo de inicio y fin de la validez del usuario en la API de WS.
- Muchas pequeñas correcciones y mejoras en la GUI de administración.
- Muchas pequeñas correcciones de errores.
- Guía de migración de Keon CA a EJBCA.

Tenga en cuenta que la configuración de la RA externa ha mejorado drásticamente. Si utiliza la RA externa, consulte el manual sobre cómo instalar y configurar el servicio CA de RA en EJBCA 3.9.

Tenga en cuenta que esta versión incluye cambios en la base de datos. Consulte el documento de ACTUALIZACIÓN para obtener instrucciones sobre la actualización.

Esta versión debería, como siempre, funcionar en JBoss, Glassfish, Weblogic y OC4J, junto con la mayoría de las bases de datos disponibles.

EJBCA 3.8.3

Esta es una versión menor con solo algunas correcciones.

- Se solucionó la imposibilidad de implementar en la combinación PostgreSQL + Glassfish.
- Se solucionó el posible uso extenso de CPU para mensajes creados para el servicio CMP RA (no la configuración predeterminada).
- Se solucionó el mensaje de error desagradable en el publicador LDAP si no existe ningún certificado para eliminar.

EJBCA 3.8.2

Esta es una versión menor que agrega mejoras y correcciones de errores.

- Agregar atributos DN de calle y seudónimo.
- Mejoras de OCSP, RFC 5019, nextUpdate, soporte para solicitudes mediante GET, configuración mejorada y manejo de errores.
- Codificación correcta del Punto de Distribución de Emisión opcional en las CRL.
-Es posible publicar userPassword en LDAP.
- Algunas correcciones menores.

EJBCA 3.8.0

Esta es una versión importante, que se centra especialmente en el soporte para que los administradores inicien sesión con certificados de otras CA, no en EJBCA.

Cambios notables
- Reestructurar la validación del administrador para permitir que los administradores utilicen certificados emitidos externamente.
- Agregue un subcomando CLI para agregar un administrador a un grupo de administradores usando el número de serie.
-Eliminar la bandera de administrador en las entidades finales, no es necesario, hace más fácil la configuración junto con la GUI de administración rediseñada.
- Es posible generar una solicitud CA PKCS#10 sin proporcionar un certificado CA.
- Añadir soporte para la extensión del número de tarjeta SEIS.
- Se agregó KRB5PrincipalName subjectAltName.
- Opción en los perfiles de certificado para invertir el orden de DN.
- Inscríbete para obtener el certificado CV en la web pública.
- Cargar solicitudes de certificados PEM o binarios en la web pública.
- Posibilidad de firmar releases y código implementado.
- Extensión de certificado personalizado básico mejorada.
- Comando para listar objetos en la partición Luna HSM.
- Algunas correcciones de errores.

NOTA: Hay actualizaciones de bases de datos en esta versión, así que lea ACTUALIZACIÓN con atención.

Debido a que hay archivos binarios en EJBCA_HOME/lib modificados, no hay un archivo de parche para actualizar
EJBCA 3.7.x a 3.8.0. Utilice el paquete completo de EJBCA 3.8.0 y siga las instrucciones de actualización en ACTUALIZACIÓN.

Tenga en cuenta que si usa JBoss, necesita JBoss 4.2.x o posterior para ejecutar EJBCA 3.8.x.

EJBCA 3.7.5

Esta es una versión menor que realiza algunos cambios menores en CVC WS-API y agrega una variable en el registro de auditoría de OCSP.
- Permitir el registro de REPLY_TIME tanto en los registros de auditoría como en los de transacciones
- Se corrigieron las solicitudes de certificado CVC con error que dejaba el estado del usuario como nuevo
- Se solucionó que cvcgetchain no devolviera el último certificado.
- Agregar traducción al portugués brasileño de la GUI de administración
- Algunos errores menores

Esta es una actualización de complemento de la versión 3.7.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.7.4

Esta es una versión menor que reemplaza la 3.7.3, cuya instalación inicial presentaba problemas. También incluye algunas correcciones adicionales de la 3.7.3.
- Sustituir correo electrónico de y para en las notificaciones de usuario
- Crear un perfil de certificado de servidor integrado
- Mejoras de OCSP

Esta es una actualización de complemento de la versión 3.7.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.7.3

Esta es una versión menor lanzada principalmente para corregir un problema de compilación en Glassfish que falló en la versión 3.7.2.
- Corrección del problema de Glassfish que falló en la versión 3.7.2
- Soporte Glassfish para PostgreSQL
- Un par de correcciones triviales.

Esta es una actualización de complemento de la versión 3.7.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.7.2

Esta es una versión menor que se centra en corregir las optimizaciones de OCSP, introducir algunas características menores y corregir algunos errores molestos.
- Agregar uso extendido de clave Intel AMT
- Optimizar el servlet OCSP para un mejor rendimiento
- Mejoras en el respondedor OCSP: recarga de p11 cuando se interrumpe la conexión, error de retorno cuando falla el registro de auditoría.
- Los certificados CA con número de serie en DN no funcionan con OCSP externo
- WS-API, hacer que mathtype contenga con matchwith username
- Cambios en la longitud de la clave al editar CA en la GUI de administración
- Correcciones menores de la GUI.

Esta es una actualización de complemento de la versión 3.7.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.7.1

Esta es una versión menor que se centra principalmente en las mejoras del soporte de CVC CA para PKI de pasaportes electrónicos EU EAC.
- Soporte para RSA y ECC con todos los algoritmos EAC.
- Correcciones de interoperabilidad probadas con otras implementaciones en el evento de Praga 2008.
- Mejoras de usabilidad para PKI CVC, por ejemplo, descarga e importación de certificados binarios.
- Cambios en la CLI de CVC para imitar las funciones de WS-API.
- Se solucionó el error que causaba la actualización de 3.6 a 3.7 cuando se usaban contraseñas generadas automáticamente.
- Otras correcciones de errores menores.

Esta es una actualización de complemento de la versión 3.7.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.
Debido a que hay archivos binarios en EJBCA_HOME/lib modificados, no hay un archivo de parche para actualizar
EJBCA 3.7.0 a 3.7.1. Utilice el paquete completo de EJBCA 3.7.1 y siga las instrucciones de actualización en ACTUALIZACIÓN.

EJBCA 3.7.0

Se trata de un lanzamiento importante, centrado especialmente en el soporte para certificados CVC tal como se utilizan en la PKI de pasaporte electrónico EU EAC.
Lea el registro de cambios para obtener más detalles.

Cambios notables
- Compatibilidad con certificados CV (CVC) para pasaportes electrónicos UE EAC: ahora puede crear una PKI CVC para pasaportes electrónicos UE utilizando EJBCA.
- Actualización de los jars jaxb utilizando la API de servicio web y nuevas llamadas WS-API.
- Soporte para códigos de error en Excepciones de la API de Webservice.
- Nuevo servicio para renovar automáticamente las CA que vencen.
- Es posible utilizar el proveedor IAIK PKCS#11 así como Sun PKCS#11.
- Caja de herramientas de cliente con herramientas CLI de cliente fáciles de implementar de forma independiente en otras máquinas.
- Correcciones y mejoras menores.
No hay actualizaciones de base de datos en esta versión.

Debido a que hay archivos binarios en EJBCA_HOME/lib modificados, no hay un archivo de parche para actualizar
EJBCA 3.6.x a 3.7.0. Utilice el paquete completo de EJBCA 3.7.0 y siga las instrucciones de actualización en ACTUALIZACIÓN.

EJBCA 3.6.4

Esta es una actualización de complemento de la versión 3.6.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.6.3

Esta es una versión menor, destinada a corregir algunos errores molestos.
- La actualización no logra establecer el estado interno del tiempo de vencimiento de la CA para las CA firmadas externamente
- Cambios en la longitud de la clave al editar CA en la GUI de administración
- TestProtectedLog falla si ProtectedLogDevice no está habilitado en la configuración
- Problema de compatibilidad con PKCS11 en el respondedor OCSP
- LdapPublisher busca objetos antiguos en certDN en lugar de Ldap DN

Esta es una actualización de complemento de la versión 3.6.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.6.2

Esta es una versión menor, pero con una cantidad récord de correcciones para una versión puntual. Nuevas funciones, mejoras y numerosas correcciones de errores.
redondeando muchos bordes ásperos.

Cambios notables
- Mejoras importantes en el respondedor OCSP externo con más opciones de configuración y
Registro de auditoría y cuentas completamente nuevo. Con el nuevo registro, altamente configurable, es...
Adecuado para su uso como servicio de cobro y auditoría de solicitudes.
- Nueva función de documentación con documentación en línea implementada en la interfaz web de forma predeterminada.
Ahora son posibles los enlaces con signos de interrogación desde opciones que son difíciles de entender en la GUI de administración.
- Muchas mejoras en la GUI de administración con configuración para contraseñas generadas automáticamente y corrección de muchos pequeños errores y peculiaridades de la GUI.
- Mecanismo de conmutación por error para el editor LDAP.
- Documentación mejorada para más HSM, GUI de administración, etc.
- Mejoras para otros servidores de aplicaciones además de JBoss.
- Uso extendido de clave de firma de documentos de MS y herramienta para importar certificados desde MS CA.
- Muchas, muchas pequeñas correcciones de errores.
- Traducciones actualizadas.

Esta es una actualización de complemento de la versión 3.6.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.6.1

Esta es una versión menor con algunas características nuevas, de EJBCA 3.5.6, y algunas correcciones menores.
Además de las correcciones de EJBCA 3.5.6, nCipherHSM.sh ahora oculta la contraseña que ingresa el usuario y
Se solucionó una colisión de índices en profilemappings.properties. También se solucionó un error al inscribirse con aprobaciones.
Se arregló la activación.

Esta es una actualización de complemento de la versión 3.6.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.6.0

Esta es una versión importante con muchas nuevas características interesantes y mejoras en el marco.

Cambios notables
- Nuevo sistema de registro totalmente agrupable (opcional) con firma de registro avanzada.
- Soporte para más extensiones (FreshestCRL, caIssuers, usos de clave más extendidos, múltiples declaraciones de políticas)
- Más comandos de API de WebService.
- Soporte para Oracle Application Server y Websphere, mejoras para Weblogic.
- Soporte para base de datos DB2.
- Soporte para CRL delta
- Inscribir automáticamente certificados para sistemas Microsoft (consulte ejbca.org ->Cómo hacerlo).
- Compatibilidad mejorada con PKCS#11 para HSM.
- Mejoras de OCSP, compatibilidad con HSM PKCS#11 en respondedores OCSP externos.
- Mejoras de RA externa, mejor configuración y mejoras de SCEP.
- Mejoras en el editor LDAP.
- Mejoras en las notificaciones de usuario.
- Nueva web Wiki, wiki.ejbca.org .

¡Hay actualizaciones de base de datos en esta versión, así que preste atención!

Debido a que existen archivos binarios en EJBCA_HOME/lib y a muchos cambios importantes, no existe un parche para actualizar EJBCA 3.5.x a 3.6.0. Use el paquete completo de EJBCA 3.6.0 y siga las instrucciones de actualización en UPGRADE.

Para la base de datos Oracle, hemos cambiado del tipo obsoleto LONG a CLOB. No se preocupe, EJBCA 3.6 sigue funcionando si continúa usando el tipo de dato LONG (es decir, no realiza cambios en su base de datos). Si decide migrar, encontrará un script SQL de migración en src/upgrade/35_36/oracle-long-to-clob.sql.

Notas de la versión de EJBCA 3.5

EJBCA 3.5.0

Esta es una versión importante con muchas nuevas características interesantes y mejoras en el marco.

Cambios notables
- Interfaz PKCS#11 para HSM, soporte para Utimaco CryptoServer y activación automática mejorada de HSM.
- API de servicio web muy mejorada para administración.
- La función de importación de CA admite HSM, lo que permite crear una CA inicial en HSM y un administrador inicial en una tarjeta inteligente.
- Los almacenes de claves de CA blanda utilizan el mismo marco que los HSM, lo que permite proporcionar una contraseña privada a cada CA blanda.
- Nuevas opciones para especificar la validez del certificado, por entidad final, fecha fija, etc.
- Posibilidad de mantener la configuración/modificaciones en un directorio externo.
- Es posible utilizar diferentes perfiles en el modo CMP RA.
- Ahora puedes exigir aprobaciones para la revocación.
- Admite múltiples nombres alternativos de correo electrónico en la GUI de administración.
- Opción para elegir DN inverso para una CA.
- Instalación sin root, utilizando un almacén de confianza SSL personalizado para JBoss/Tomcat.
- Muchas otras pequeñas correcciones y mejoras, 69 problemas resueltos.

Debido a que hay archivos binarios en EJBCA_HOME/lib y muchos cambios masivos, no hay un archivo de parche para actualizar
EJBCA 3.4.x a 3.5.0. Utilice el paquete completo de EJBCA 3.5.0 y siga las instrucciones de actualización.

EJBCA 3.4.5

Esta es una versión de parche con solo correcciones menores.

Cambios notables
- Ahora es configurable qué interfaz escucha el servicio http de JBoss, lo que facilita el endurecimiento.
- Se corrigió un error en el que fallaba la validación de ruta al usar una MS-CA como CA raíz externa.

Esta es una actualización de complemento de la versión 3.4.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.4.4

Esta es una versión de parche con solo correcciones menores.

Cambios notables
- Ahora puede usar una contraseña vacía para activar una CA HSM, lo que significa que puede tener tarjetas de operador sin contraseñas o que puede usar claves protegidas por módulos en el HSM (jerga nCipher).
- La interesante función para generar instaladores OpenVPN automáticamente para los usuarios tiene una solución para que funcione y se pruebe nuevamente.

Esta es una actualización de complemento de la versión 3.4.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.4.3

Esta es una versión de parche con algunas correcciones y nuevas características menores.

Cambios notables
- Soporte para JBoss 4.2.x
- Se volvió a admitir RSASHA256WithRSAAndMGF1; este algoritmo se eliminó temporalmente de algunas versiones debido a limpiezas de código.
Se utiliza principalmente para pasaportes electrónicos en la UE.
- Soporte para JavaDB/Derby

La versión contiene cambios en archivos binarios (nuevo proveedor BC JCE), por lo que no se proporciona ningún archivo de parche.

Si actualiza a JBoss 4.2.0 y tiene un conf/web.properties personalizado, elimine web.jsfimpl de su conf/web.properties.

Esta es una actualización de complemento de la versión 3.4.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

Dado que hay una nueva versión del proveedor de BC, debería realizar pruebas antes de actualizar en producción. Hemos realizado numerosas pruebas, pero no podemos protegerlo de todo lo relacionado con su entorno.

EJBCA 3.4.2

Este es un parche con varias correcciones y nuevas funciones menores. Se corrigen más problemas de lo habitual en un parche, pero en su mayoría son funciones menores y correcciones supuestamente seguras.
Cambios notables
- muchas mejoras para ejecutar EJBCA sin problemas tanto en Weblogic como en Glassfish
- Correcciones para la inscripción en Windows Vista
- posibilidad de exportar un almacén de claves CA suave
- un nuevo editor para publicar certificados y CRL con scripts personalizados
- soporte para el modo de sondeo SCEP RA utilizando el módulo RA externo
- Muchas correcciones de errores menores

Esta es una actualización de complemento de la versión 3.4.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.4.1

Esta es una versión menor con solo dos correcciones de errores.

Esta es una actualización de complemento de la versión 3.4.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.4.0

Esta es una versión importante con muchas nuevas características interesantes y mejoras en el marco.

Debido a que existen archivos binarios en EJBCA_HOME/lib y a muchos cambios importantes, no existe un parche para actualizar EJBCA 3.3.x a 3.4.0. Use el paquete completo de EJBCA 3.4.0 y siga las instrucciones de actualización.

Cambios notables
En EJBCA 3.4.0, la codificación de cadena ASN.1 predeterminada para DN es ahora UTF-8. En EJBCA 3.3.x y versiones anteriores, la codificación predeterminada era PrintableString, a menos que el conjunto de caracteres obligara al uso de UTF-8 (caracteres internacionales).
Ahora los componentes DN siempre se codifican como UTF8 (excepto los componentes que no permiten UTF8, como C y SerialNumber).
Consulte ACTUALIZACIÓN para obtener información sobre cómo actualizar desde una CA antigua y cómo se puede configurar el comportamiento.

Si solía implementar con 'deploywithjbossservices', ahora esto se hace usando el 'deploy' normal, pero debe configurar una opción en conf/ejbca.properties.

EJBCA 3.3.3

Esta es una versión menor con algunas mejoras, especialmente para LDAP.

Esta es una actualización de complemento de la versión 3.3.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.3.2

Esta es una versión menor con algunas correcciones de errores, especialmente para Oracle y Weblogic.

Esta es una actualización de complemento de la versión 3.3.x. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.3.1

Esta es una versión menor con algunas correcciones de errores, especialmente para Luna HSM.

Esta es una actualización de complemento de la versión 3.3.0. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.3.0

Esta es una versión importante con nuevas características, mejoras y correcciones de errores.

Esta es una actualización de complemento de la versión 3.2.2. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.2.2

Esta es una versión menor con pequeñas mejoras y algunas correcciones de errores, principalmente para MS-SQL.

Esta es una actualización del complemento de la versión 3.2.1. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.2.1

Esta es una versión menor con una característica nueva y algunas correcciones de errores.

Esta es una actualización del complemento de la versión 3.2.0. Consulte ACTUALIZACIÓN para obtener instrucciones sencillas.

EJBCA 3.2.0

Esta es una versión con nuevas características empresariales y una reestructuración interna de la base del código.

Hay actualizaciones de base de datos en esta versión (desde 3.1.x).
Consulte doc/UPGRADE para obtener instrucciones sobre cómo actualizar su base de datos.
¡Debes hacer eso!

De lo contrario, simplemente mantenga/copie ejbca.properties de la instalación anterior.
Fusionar los cambios de ejbca.properties.sample en ejbca.properties,
especialmente datasource.jndi-name y datasource.jndi-name-prefix si los cambió de los valores predeterminados.
Copie el directorio 'p12' de la instalación anterior y 'ant deploy'
(o deploywithjbossservice) este nuevo.

Debido a que hay archivos binarios en EJBCA_HOME/lib y muchos cambios masivos, no hay un archivo de parche para actualizar
EJBCA 3.1.3 a 3.2.0. Utilice el paquete completo de EJBCA 3.2.0 y siga las instrucciones de actualización.

EJBCA 3.1.4

Esta es una versión menor con algunas características nuevas y algunas correcciones de errores.

Esta es una actualización del plugin de la versión 3.1.3. Excepto por lo siguiente:
Fusionar los cambios de ejbca.properties.sample en ejbca.properties,
especialmente datasource.jndi-name y datasource.jndi-name-prefix si los cambió de los valores predeterminados.

De lo contrario, simplemente mantenga/copie ejbca.properties de la instalación anterior.
Fusionar los cambios de ejbca.properties.sample en ejbca.properties.
Copie el directorio 'p12' de la instalación anterior y 'ant deploy'
(o deploywithjbossservice) este nuevo.

EJBCA 3.1.3

Esta es una versión menor con algunas características nuevas y algunas correcciones de errores.

Esta es una actualización del complemento de la versión 3.1.2.
Simplemente mantenga/copie ejbca.properties de la instalación anterior, copie el directorio 'p12' de la instalación anterior y 'ant deploy' (o deploywithjbossservice) este nuevo.

Tenga en cuenta que para corregir los errores ECA-144, 148 y 75, se utilizan las nuevas versiones de lib/bcmail*.jar y lib/bcprov*.jar. Al ser archivos binarios, no se incluyen en el parche de las versiones 3.1.2 a 3.1.3. Puede usar el parche y reemplazar manualmente los archivos jar de la distribución completa.

La versión 3.1.3 admite firmas RSASSA-PSS para cumplir con el estándar sueco para certificados MRTD (pasaportes electrónicos).
Los parámetros RSASSA-PSS se pueden ver y editar en el archivo src/java/se/anatom/ejbca/ca/caadmin/ExtendedX509Util.java.15

IMPORTANTE, se requiere la compilación utilizando jdk1.5 para este algoritmo.
De lo contrario, esta opción de algoritmo no aparecerá.

Soporte mejorado para caracteres internacionales en la interfaz gráfica de administración web (Agregar/Editar páginas).
Debería funcionar con la mayoría de los idiomas ahora.

Ahora también es posible seleccionar un subconjunto de los campos SubjectDN y SubjectAltName de un usuario utilizados en un tipo de certificado específico. Esto se define en los perfiles de certificado.

EJBCA 3.1.2

Esta es una versión menor con dos nuevas características y algunas correcciones de errores.

Esta es una actualización del plugin de la versión 3.1/3.1.1. Simplemente conserve ejbca.properties de la versión anterior y ejecute "ant deploy" en este nuevo.

Tenga en cuenta que para corregir el error ECA-126, se utiliza una nueva versión de lib/bcmail-jdk14.jar y lib/bcprov-jdk14.jar. Al ser archivos binarios, no se incluyen en el parche de la versión 3.1 a la 3.1.2. Puede usar el parche y reemplazar manualmente los archivos jar.

EJBCA 3.1.1

Esta es una versión menor con algunas pequeñas correcciones de errores encontradas en la versión 3.1.

Esta es una actualización del complemento de la versión 3.1.

EJBCA 3.1

Esta es una versión importante que incluye muchas características nuevas, mejoras y correcciones de errores.

Estamos muy orgullosos de este lanzamiento y recomendamos una actualización.

Se trata principalmente de una actualización del complemento 3.0.7, no se necesitan cambios en la base de datos.

Dado que los cambios son masivos, no se proporciona ningún archivo de parche.

Para actualizar desde 3.0.x siga doc/UPGRADE.

EJBCA 3.0.7

Esta es una actualización del complemento desde la versión 3.0.6 o 3.0.5.
Aplicar parche, compilar y volver a implementar.

EJBCA 3.0.6

Esta es una actualización del complemento desde la versión 3.0.5.

Aplicar parche, compilar y volver a implementar.

Si está utilizando tokens duros en MySQL (lo cual probablemente no esté haciendo o se habría dado cuenta)
este error), debe eliminar la tabla HardTokenData y reiniciar JBoss para recrear la tabla.

EJBCA 3.0.5

Esta es una actualización del complemento desde la versión 3.0.4.

Aplicar parche, compilar y volver a implementar.

Para los usuarios de MS SQL 2000, deben tener en cuenta el nombre de la columna 'rule_' (anteriormente 'rule', que ahora es
una palabra reservada) en la tabla AccessRulesData.

EJBCA 3.0.4

Esta es una actualización del complemento desde la versión 3.0.3.

Aplicar parche, compilar y volver a implementar.

EJBCA 3.0.3

La tabla de base de datos 'hardtokenprofiledata' que utiliza la base de datos HypersonicSQL ha cambiado.

EJBCA 3.0

EJBCA 3.0 es una nueva versión importante que lleva la CA de código abierto a nuevas alturas.
La mejora más importante es que ahora es posible ejecutar varios
Infraestructuras PKI dentro de una única instancia de EJBCA. Entre otras mejoras importantes, también se incluyen
Soporte completo para OCSP, interfaz de token duro mejorada y flexible
Configuración de LDAP a través de la Web-GUI.

Esta es una actualización del complemento de la versión beta3.

Esta versión no es compatible con versiones anteriores de EJBCA 2.1 sin actualización de la base de datos.
Se deben seguir las instrucciones de actualización si se actualiza desde EJBCA 2.1,
Haga una copia de seguridad de su base de datos antes de intentar cualquier actualización.

EJBCA 2.1.2

Esta es una actualización del complemento V2.1.

El esquema LDAP (predeterminado) se ha cambiado para seguir la norma RFC 2256. Si utiliza LDAP,
Se debe verificar el esquema. Puede configurarlo.
(en ca/ca/META-INF/ejb-jar.xml) para que sea igual que antes, si es necesario. Consulte HOWTO-LDAP.txt.

EJBCA 2.1.1

Esta es una actualización del complemento V2.1.

EJBCA 2.1

Nuevo método para revocar certificados con publicadores externos.

EJBCA 2.0.1

A excepción de las notas a continuación, esta es una actualización del complemento de la versión 2.0.

Ahora se requiere Java >= 1.4.

Eliminar bcmail-jdk13*, jce-jdk13*, ldap.jar y regexp1_0_0.jar
desde $JBOSS_HOME/server/default/lib.

EJBCA 2.0

El nombre del superadministrador temporal inicial cambió de "CN=Walter" a "CN=SuperAdmin". Se debe crear uno nuevo.

Se deben redefinir todos los privilegios de administrador definidos.

Se deben redefinir los perfiles de certificado.

Elimine las tablas GlobalConfigurationData, AdminGroupData, AdminEntityData, AccessRulesData y EndEntityProfileData para vaciar la configuración y los privilegios de administrador (en realidad, eliminar el contenido sería suficiente, pero
También podríamos dejar de lado las tablas).

Elimine bcmail-jdk13-116.jar, jce-jdk13-116.jar, ldap.jar y regexp1_0_0.jar de $JBOSS_HOME/server/default/lib.

EJBCA 1.3

Esta es una actualización del complemento de la versión 1.2 o 1.1. Simplemente compile e implemente los nuevos archivos.

EJBCA 1.2

Esta es una actualización del complemento de la versión 1.1. Simplemente compile e implemente los nuevos archivos.

EJBCA 1.1

Actualización desde la versión 1.0:

Al actualizar desde la versión 1.0, es necesario migrar las tablas de la base de datos si se han utilizado los atributos DN L o ST. Esto se debe a que el orden de dichos atributos ha cambiado (para la coincidencia de cadenas, el orden debe estar definido).

Si no se han utilizado L o ST en los DN, NO es necesaria la migración.

Lo que hay que hacer es:
1. Leer la columna con DN que me fue migrado desde la tabla.
2. Ejecute 'newDN=CertTools.stringToBCDNString(oldDN)'.
3. Actualice la columna con DN en la tabla.

Las columnas que necesitan actualizarse son:
issuerDN en la tabla CRLData
subjectDN, issuerDN en la tabla CertificateData
subjectDN en la tabla UserData.

Si necesita una herramienta para realizar la migración, contáctenos. Consulte http://sourceforge.net/projects/ejbca