EJBCA

EJBCA е софтуер за PKI удостоверяващ орган, достъпен като софтуер с отворен код.

За да можете да използвате NetHSM с EJBCA, първо трябва да настроите модула NetHSM PKCS#11.

След това конфигурирайте EJBCA да използва модула NetHSM PKCS#11, като добавите запис във файла /etc/ejbca/conf/web.properties:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so

Note

418 в името е индекс, който трябва да е уникален за всеки модул PKCS#11 в конфигурационния файл.

За да можете да генерирате ключове от интерфейса, трябва да настроите опцията enable_set_attribute_value на true във файла p11nethsm.conf.

Warning

Поради някои проблеми с интеграцията с доставчика на Sun PKCS11 ключовете, генерирани от EJBCA, ще имат произволно име вместо името, зададено в интерфейса.

След рестартиране на EJBCA можете да добавите нов криптографски токен в графичния потребителски интерфейс на EJBCA Admin https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Типът на криптографския токен е PKCS#11 Crypto Token, а името на криптографския токен е NetHSM.

Изпълнение на примера

Ако искате да експериментирате с дадения пример, можете да използвате git, за да клонирате хранилището nethsm-pkcs11 и да изпълните следните команди:

  • Конфигуриране на NetHSM - истински или контейнер. За повече информация вижте ръководството getting-started.

  • Променете конфигурацията на libnethsm_pkcs11, за да съответства на вашия NetHSM в container/ejbca/p11nethsm.conf.

  • Изградете контейнера.

    docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
    
  • Стартирайте контейнера.

    docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
    

Контейнерът ще бъде достъпен на адрес https://localhost:9443/.