EJBCA¶
Poznámka
EJBCA vyžaduje alespoň NetHSM v3 a nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
EJBCA Community Edition je open source software certifikační autority PKI.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Poté nakonfigurujte EJBCA tak, aby používala modul NetHSM PKCS#11 přidáním položky do souboru /etc/ejbca/conf/web.properties:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Poznámka
418 v názvu je index, který musí být pro každý modul PKCS#11 v konfiguračním souboru jedinečný.
Po restartování EJBCA můžete přidat nový Crypto Token v grafickém rozhraní správce EJBCA https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Typ Crypto Tokenu je PKCS#11 Crypto Token a název Crypto Tokenu je NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
Verze EJBCA Enterprise Edition poskytuje pokročilé funkce a podnikovou podporu.
Konfigurace pro EJBCA EE se liší od verze Community Edition. Namísto konfigurace modulu PKCS#11 přímo v EJBCA používá Enterprise Edition přístup sidecar container. Tento kontejner sidecar poskytuje připojení p11ng (PKCS#11 Next Generation) k NetHSM, což umožňuje bezproblémovou integraci bez nutnosti úpravy hlavního kontejneru EJBCA.
Podrobné informace o konfiguraci hardwarových bezpečnostních modulů (HSM) s EJBCA EE naleznete v oficiální dokumentaci EJBCA HSM.
Docker Setup¶
Poskytujeme kompletní kontejnerové nastavení pro integraci EJBCA EE s NetHSM. Nastavení zahrnuje:
EJBCA EE container
NetHSM PKCS#11 sidecar kontejner (p11ng)
Kontejner NetHSM pro testování
Obraz kontejneru a konfiguraci najdete v adresáři container/ejbca-ee/ repozitáře NetHSM-pkcs11.
Adresář obsahuje kompletní soubor docker-compose.yml, který vyvolá všechny potřebné komponenty, včetně instance NetHSM pro testovací účely. To poskytuje prostředí připravené k použití pro experimentování s integrací EJBCA EE a NetHSM.
Poznámka
Dockerfile a docker-compose.yml obsahují odkazy na oficiální úložiště, před jejich použitím nezapomeňte spustit docker login.
V současné době je omezením to, že neexistuje způsob, jak vybrat Padding Scheme pro konkrétní Crypto Token. Proto bude RSA vždy používat padding PKCS#1 (a nikoli PSS).