Florent's questions

Estou procurando o método usado pelo EJBCA para gerar as chaves privadas em geral (CA, Sub-Ca, certificados...).

Digamos, por exemplo, que você deseja o tamanho da chave RSA 2048. O processo de geração é todo feito na aplicação EJBCA? Eles dependem da geração aleatória do servidor de aplicativos baseado em Java EE (no meu caso, Jboss)? Existe um link em algum lugar com a geração de números aleatórios implementada localmente, por exemplo, no Linux /dev/(u)random ?

Qual é o nível de entropia e eles garantem um?

Estou procurando uma solução para extrair o CA da instância EJBCA, colocá-lo em uma unidade externa, que é protegida em um depósito seguro, por exemplo. Portanto, mantenho apenas o sub-ca para assinar os certificados de usuário final na instância EJBCA.

Aí eu só colocaria de volta quando precisasse gerar novamente uma sub-ca ou revogar uma sub-ca já criada.

Dessa forma, posso garantir que, mesmo que meu servidor seja comprometido, tenho certeza de que apenas o sub-ca restante está comprometido, mas meu ca raiz ainda é válido.

Existe uma solução para fazer uma coisa dessas?

Obrigado.