EJBCA

Warning

Because of some integration problems with the Sun PKCS11 provider, keys generated from EJBCA will have a random name instead of the name given in the interface. Therefor this documentation is only a Proof-of-Concept. Support for EJBCA will be introduced by NetHSM software 3.0.

EJBCA е софтуер за PKI удостоверяващ орган, достъпен като софтуер с отворен код.

За да можете да използвате NetHSM с EJBCA, първо трябва да настроите модула NetHSM PKCS#11.

След това конфигурирайте EJBCA да използва модула NetHSM PKCS#11, като добавите запис във файла /etc/ejbca/conf/web.properties:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so

Note

418 в името е индекс, който трябва да е уникален за всеки модул PKCS#11 в конфигурационния файл.

За да можете да генерирате ключове от интерфейса, трябва да настроите опцията enable_set_attribute_value на true във файла p11nethsm.conf.

След рестартиране на EJBCA можете да добавите нов криптографски токен в графичния потребителски интерфейс на EJBCA Admin https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Типът на криптографския токен е PKCS#11 Crypto Token, а името на криптографския токен е NetHSM.

Изпълнение на примера

Ако искате да експериментирате с дадения пример, можете да използвате git, за да клонирате хранилището nethsm-pkcs11 и да изпълните следните команди:

  1. Configure a NetHSM, either a real one or a container. Refer to chapter Getting Started to learn more.

  2. Променете конфигурацията на libnethsm_pkcs11, за да съответства на вашия NetHSM в container/ejbca/p11nethsm.conf.

  3. Изградете контейнера.

docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca

  1. Стартирайте контейнера.

docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca

Контейнерът ще бъде достъпен на адрес https://localhost:9443/.