EJBCA¶
Note
EJBCA изисква поне NetHSM v3 и nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
EJBCA Community Edition е софтуер с отворен код на PKI Certificate Authority.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
След това конфигурирайте EJBCA да използва модула NetHSM PKCS#11, като добавите запис във файла /etc/ejbca/conf/web.properties:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Note
418 в името е индекс, който трябва да е уникален за всеки модул PKCS#11 в конфигурационния файл.
След рестартиране на EJBCA можете да добавите нов криптографски токен в графичния потребителски интерфейс на EJBCA Admin https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Типът на криптографския токен е PKCS#11 Crypto Token, а името на криптографския токен е NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
EJBCA Enterprise Edition предоставя разширени функции и поддръжка за предприятия.
Конфигурацията на EJBCA EE се различава от тази на Community Edition. Вместо да се конфигурира модулът PKCS#11 директно в EJBCA, Enterprise Edition използва подхода на sidecar container. Този страничен контейнер осигурява връзката p11ng (PKCS#11 Next Generation) с NetHSM, което позволява безпроблемна интеграция, без да се променя основният контейнер на EJBCA.
За подробна информация относно конфигурирането на хардуерни модули за сигурност (HSM) с EJBCA EE, вижте официалната документация на EJBCA HSM.
Docker Setup¶
Предоставяме пълна контейнерна настройка за интеграция на EJBCA EE с NetHSM. Конфигурацията включва:
EJBCA EE container
NetHSM PKCS#11 страничен контейнер (p11ng)
Контейнер NetHSM за тестване
Можете да намерите образа на контейнера и конфигурацията в директорията container/ejbca-ee/ на хранилището NetHSM-pkcs11.
Директорията включва пълен docker-compose.yml файл, който извиква всички необходими компоненти, включително инстанция на NetHSM за целите на тестването. Това осигурява готова за използване среда за експериментиране с интеграцията на EJBCA EE и NetHSM.
Note
Dockerfile и docker-compose.yml съдържат препратки към официалните хранилища, уверете се, че сте стартирали docker login преди да ги използвате.
Понастоящем ограничението е, че няма начин да се избере схемата за подложка Padding Scheme за конкретен криптографски токен ** . Поради това RSA винаги ще използва подложка PKCS#1 (а не PSS).