EJBCA¶
EJBCA er en PKI Certificate Authority-software, der er tilgængelig som open source.
For at kunne bruge NetHSM med EJBCA skal du først setup NetHSM PKCS#11 module.
Konfigurer derefter EJBCA til at bruge NetHSM PKCS#11-modulet ved at tilføje en post i filen /etc/ejbca/conf/web.properties
:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
Bemærk
418
i navnet er et indeks, der skal være unikt for hvert PKCS#11-modul i konfigurationsfilen.
For at kunne generere nøgler fra grænsefladen skal du sætte enable_set_attribute_value
optionen til true i p11nethsm.conf
filen.
Advarsel
På grund af nogle integrationsproblemer med Sun PKCS11-provideren vil nøgler, der genereres fra EJBCA, have et tilfældigt navn i stedet for det navn, der er angivet i grænsefladen.
Efter genstart af EJBCA kan du tilføje et nyt Crypto Token i EJBCA Admin GUI https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml
. Crypto Token-typen er PKCS#11 Crypto Token
og Crypto Token-navnet er NetHSM
.
Udførelse af eksemplet¶
Hvis du vil eksperimentere med det givne eksempel, kan du bruge git til at klone nethsm-pkcs11 repository og køre følgende kommandoer:
Konfigurer en NetHSM, enten en rigtig eller en container. Se getting-started guide for flere oplysninger.
Skift libnethsm_pkcs11-konfigurationen, så den passer til din NetHSM i
container/ejbca/p11nethsm.conf
.Byg beholderen.
docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
Kør containeren.
docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
Containeren vil være tilgængelig på https://localhost:9443/.