Настройка на PKCS#11#
Инсталиране на приложението Nitrokey#
Можете да получите модула NetHSM PKCS#11 като предварително компилиран двоичен файл или да го компилирате от изходния код.
Предварително компилирани двоични файлове#
Изтеглете файла на модула, съответстващ на вашата система, от страницата releases на хранилището.
Копирайте файла на модула в директорията, в която приложенията ви за PKCS#11 очакват да го намерят.
Компилиране от източника#
Инсталирайте веригата от инструменти Rust.
Изтеглете и извлечете изходния код от страницата с версиите на ` <https://github.com/Nitrokey/nethsm-pkcs11/releases>`__ или клонирайте хранилището на ` <https://github.com/Nitrokey/nethsm-pkcs11>`__.
Изпълнете
cargo build --releaseв директорията с източника.
Статична конфигурация на DNS#
По подразбиране модулът търси конфигурационни файлове в:
/etc/nitrokey/p11nethsm.conf/usr/local/etc/nitrokey/p11nethsm.conf$HOME/.config/nitrokey/p11nethsm.conf
Ако са налични няколко файла, конфигурациите ще бъдат обединени, така че слотовете на всички конфигурационни файлове да бъдат използвани от модула.
Можете ръчно да зададете местоположението на файла с конфигурацията (само този файл ще бъде прочетен) с променливата env P11NETHSM_CONFIG_FILE (например P11NETHSM_CONFIG_FILE=./p11nethsm.conf).
Формат на файла с конфигурацията#
Конфигурацията е във формат yaml:
# Set this option to true to enable the compatibility option for the C_SetAttributeValue() function.
# This allows the applications using the Java Sun PKCS11 module (like EJBCA) to generate keys.
# When using this, the names given to the keys will be ignored and the keys will have random names.
# Under the hood it will store in memory the name given to the key when calling C_SetAttributeValue(). When a certificate is uploaded it will check if the name was previously passed to C_SetAttributeValue() and translate it to the real name on the NetHSM.
enable_set_attribute_value: false
# Optional log level, acceptable values are Trace, Debug, Info, Warn and Error
log_level: Debug
# By default, the module logs to both syslog and stderr, trying the sockets /dev/log, /var/run/syslog and finally /var/run/log
# A custom socket can be configured:
syslog_socket: /var/nethsm/log
# Instead of a socket, a custom UDP or TCP syslog can be configured:
# syslog_udp:
# to_addr: 127.0.0:1:514
# from_addr: 127.0.0:1:4789
# syslog_tcp: 127.0.0.1:601
# Only one option among "syslog_socket", "syslog_udp", "syslog_tcp" can be configured at the same time
# You can configure the syslog facility ( "kern", "user", "mail", "daemon", "auth", "syslog", "lpr", "news", "uucp", "cron", "authpriv", "ftp", "local0", "local1", "local2", "local3", "local4", "local5", "local6" or "local7"):
syslog_facility: "user"
# You can set the hostname (for use only with syslog_udp or syslog_tcp)
# syslog_hostname: "localhsm-pkcs11"
# You can set the process name (defaults to the process name obtained from the OS)
# syslog_process: "NetHSM Pkcs11"
# You can set the pid used in logs (defaults to the process id obtained from the OS)
# syslog_pid: 0
# You can also configure a custom file, or "-" for stderr.
# log_file: /tmp/p11nethsm.log
# Each "slot" represents a HSM cluster of server that share the same user and keys.
slots:
- label: LocalHSM # Name your NetHSM however you want
description: Local HSM (docker) # Optional description
# Users connecting to the NetHSM server
operator:
username: "operator"
# If the password starts with `env:`, it will obtain the password from an environment variable:
# password: "env:LOCALHSMPASS"
password: "localpass"
administrator:
username: "admin"
# List the NetHSM instances
instances:
- url: "https://keyfender:8443/api/v1" # URL to reach the server
# To avoid having to re-open connections on each requests, the module keeps a connection pool to each instance. If the module is used by a multithreaded application, multiple connections can be opened at the same time.
# This configures the maximum number of connections in the pool at the same time.
# Note that this does not limit the total number of open connections.
# Having a degree of parrallelism that is higher than the max number of idle connection can lead overhead as those connections will be closed an re-opened frenquently
max_idle_connections: 10
# By default, the certificate of the HSM will be validated using the system's root certificate authority.
# When the NetHSM uses a self-signed certificate, it can be verified against an allowed list of sha256 fingerprint of the NetHSM's certificate:
sha256_fingerprints:
- "31:92:8E:A4:5E:16:5C:A7:33:44:E8:E9:8E:64:C4:AE:7B:2A:57:E5:77:43:49:F3:69:C9:8F:C4:2F:3A:3B:6E"
# Alternatively certificate checks can be skipped entirely with danger_insecure_cert option.
# This should be avoided if possible and certainly not used with a productive NetHSM.
# danger_insecure_cert: true
# Configure the network retry mechanism. If absent, no retries are attempted on a network error
retries:
# The number of retries after a network error
count: 3
# The delay between retries, in integer seconds
delay_seconds: 1
# it is possible to configure idle connections to make use of TCP keepalives, preventing the closing of connections by a firewall or detecting such cases
tcp_keepalive:
# the number of seconds before keepalives packets start being sent
# Corresponds to `TCP_KEEPIDLE` on Linux, `TCP_KEEPALIVE` on macOS, and the field keepalivetime of tcp_keepalive on Windows
time_seconds: 600
# the number of seconds between each keepalive packet
# Corresponds to `TCP_KEEPINTVL` on Linux and macOS, and the field keepaliveinterval of tcp_keepalive on Windows
interval_seconds: 60
# the number of keepalive packets being sent without a response before the connection
# is considered closed
# Corresponds to `TCP_KEEPCNT` on Linux and macOS, and is not used on Windows
retries: 3
# Time a connection can spend idle before being closed
connections_max_idle_duration: 1800
# Configurable timeout for network operations. If a network operation takes more than, `timeout_seconds`, consider it failed. If `retries` is configured, it will be retried.
# Defaults to infinite
timeout_seconds: 10
Инстанции#
Ако в един и същи слот са изброени няколко екземпляра на NetHSM, тези екземпляри трябва да бъдат конфигурирани в клъстер. Удостоверенията на потребителите и ключовете трябва да са едни и същи за всички инстанции.
Модулът ще използва инстанциите по кръгов път, като при неуспех ще опита друга инстанция.
Надеждност на мрежата#
За да се подобри надеждността на модула PKCS#11, е възможно да се конфигурират таймаути, повторения, резервиране на инстанциите и поддържане на TCP.
Повторни опити#
Ако даден екземпляр на NetHSM е недостъпен, модулът PKCS#11 може да повтори изпращането на заявката до други екземпляри или до същия екземпляр (ако другите екземпляри също са недостъпни). Възможно е да се въведе забавяне между повторните опити.
Неуспешните екземпляри се маркират като недостижими и се опитват отново във фонова нишка, така че няма да бъдат изпробвани, освен ако всички екземпляри са недостижими.
Ако не може да бъде създадена фонова нишка (CKF_LIBRARY_CANT_CREATE_OS_THREADS), неуспешните екземпляри ще бъдат изпробвани по време на нормалните операции, което ще забави заявките. За да се сведе до минимум това, подобни „вградени“ проверки на състоянието са ограничени до 1 секунда таймаут и могат да бъдат опитани само 3 проверки на състоянието за една заявка (това е най-лошият случай, който може да бъде достигнат само ако голям брой инстанции се провалят).
Следователно:
Максималният брой заявки, изпратени за едно API повикване, е:
retries.count+ 1 + 3Максималната продължителност (в най-лошия случай) преди достигане на таймаут за едно API повикване е: (
retries.count+ 1) *timeout_seconds+ 3Максималното времетраене за едно извикване на функция PKCS#11 ще варира, тъй като някои функции водят до множество извиквания на API в NetHSM.
TCP keepalive#
За да се подобри производителността, връзките се поддържат отворени с инстанциите на NetHSM, за да се избегне необходимостта от повторното им отваряне. Възможно е в мрежа със защитна стена тези неактивни връзки да бъдат затворени, което да доведе до изтичане на времето при следващия опит за връзка. За да се предотврати появата на бавни изчаквания и за да се открие по-рано, ако това се случи, е възможно да се конфигурира TCP keepalives за тях.
Потребители#
Потребителите оператор и администратор не са задължителни, но модулът няма да се стартира, ако няма конфигуриран потребител. Това е така, за да можете да конфигурирате модула само с потребител администратор, само с потребител оператор или и с двамата едновременно.
Когато са зададени двамата потребители, модулът ще използва оператора по подразбиране и ще използва потребителя администратор само когато действието го изисква.
The regular PKCS#11 user is mapped to the NetHSM operator and the PKCS#11 SO is mapped to the NetHSM administrator.
Пароли#
Паролата може да бъде предоставена по няколко начина:
В обикновен текст в конфигурацията
password: "mypassword"В променлива на средата, прочетена от модула с префикс
env::env:ENV_STORING_THE_PASSWORDЧрез функцията за вход на pkcs11, пример за pcks11-tool: pkcs11-tool –module libnethsm_pkcs11.so -p opPassphrase За да предоставите паролата на администратора, вместо нея трябва да използвате
--so-pin:pkcs11-tool --module libnethsm_pkcs11.so --login --login-type so --so-pin Administrator
Ако паролата на даден потребител не е зададена в конфигурационния файл, ще се изисква влизане в системата, за да се предостави паролата (3-ти метод).
Неработещ NetHSM се счита за слот, в който не е наличен токън.