EJBCA¶
EJBCA е софтуер за PKI удостоверяващ орган, достъпен като софтуер с отворен код.
За да можете да използвате NetHSM с EJBCA, първо трябва да настроите модула NetHSM PKCS#11.
След това конфигурирайте EJBCA да използва модула NetHSM PKCS#11, като добавите запис във файла /etc/ejbca/conf/web.properties
:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
Note
418
в името е индекс, който трябва да е уникален за всеки модул PKCS#11 в конфигурационния файл.
За да можете да генерирате ключове от интерфейса, трябва да настроите опцията enable_set_attribute_value
на true във файла p11nethsm.conf
.
Warning
Поради някои проблеми с интеграцията с доставчика на Sun PKCS11 ключовете, генерирани от EJBCA, ще имат произволно име вместо името, зададено в интерфейса.
След рестартиране на EJBCA можете да добавите нов криптографски токен в графичния потребителски интерфейс на EJBCA Admin https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml
. Типът на криптографския токен е PKCS#11 Crypto Token
, а името на криптографския токен е NetHSM
.
Изпълнение на примера¶
Ако искате да експериментирате с дадения пример, можете да използвате git, за да клонирате хранилището nethsm-pkcs11 и да изпълните следните команди:
Конфигуриране на NetHSM - истински или контейнер. За повече информация вижте ръководството getting-started.
Променете конфигурацията на libnethsm_pkcs11, за да съответства на вашия NetHSM в
container/ejbca/p11nethsm.conf
.Изградете контейнера.
docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
Стартирайте контейнера.
docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
Контейнерът ще бъде достъпен на адрес https://localhost:9443/.