EJBCA

Varování

Because of some integration problems with the Sun PKCS11 provider, keys generated from EJBCA will have a random name instead of the name given in the interface. Therefor this documentation is only a Proof-of-Concept. Support for EJBCA will be introduced by NetHSM software 3.0.

EJBCA je software certifikační autority PKI dostupný jako open source.

Abyste mohli používat NetHSM s EJBCA, musíte nejprve nastavit ` <pkcs11-setup.html>`__ modul NetHSM PKCS#11.

Poté nakonfigurujte EJBCA tak, aby používala modul NetHSM PKCS#11 přidáním položky do souboru /etc/ejbca/conf/web.properties:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so

Poznámka

418 v názvu je index, který musí být pro každý modul PKCS#11 v konfiguračním souboru jedinečný.

Abyste mohli generovat klíče z rozhraní, musíte v souboru p11nethsm.conf nastavit volbu enable_set_attribute_value na hodnotu true.

Po restartování EJBCA můžete přidat nový Crypto Token v grafickém rozhraní správce EJBCA https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Typ Crypto Tokenu je PKCS#11 Crypto Token a název Crypto Tokenu je NetHSM.

Provedení příkladu

Pokud chcete s uvedeným příkladem experimentovat, můžete pomocí gitu naklonovat repozitář nethsm-pkcs11 a spustit následující příkazy:

1. Configure a NetHSM, either a real one or a container. Refer to chapter Getting Started to learn more.

2. Změňte konfiguraci libnethsm_pkcs11 tak, aby odpovídala vašemu NetHSM na adrese container/ejbca/p11nethsm.conf.

3. Sestavte kontejner.

   docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
   

4. Spusťte kontejner.

   docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
   

Kontejner bude k dispozici na adrese https://localhost:9443/.