EJBCA

Bemærk

EJBCA kræver mindst NetHSM v3 og nethsm-pkcs11 v2.

EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).

EJBCA Community

EJBCA Community Edition er en open source PKI Certificate Authority-software.

To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.

Konfigurer derefter EJBCA til at bruge NetHSM PKCS#11-modulet ved at tilføje en post i filen /etc/ejbca/conf/web.properties:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true

Bemærk

418 i navnet er et indeks, der skal være unikt for hvert PKCS#11-modul i konfigurationsfilen.

Efter genstart af EJBCA kan du tilføje et nyt Crypto Token i EJBCA Admin GUI https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Crypto Token-typen er PKCS#11 Crypto Token og Crypto Token-navnet er NetHSM.

Docker Example

We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.

EJBCA Enterprise

EJBCA Enterprise Edition giver avancerede funktioner og support til virksomheder.

Konfigurationen af EJBCA EE adskiller sig fra Community Edition. I stedet for at konfigurere PKCS#11-modulet direkte i EJBCA bruger Enterprise Edition en sidecar container tilgang. Denne sidecar-container leverer p11ng (PKCS#11 Next Generation)-forbindelsen til NetHSM, hvilket muliggør problemfri integration uden at ændre den primære EJBCA-container.

For detaljerede oplysninger om konfiguration af hardware-sikkerhedsmoduler (HSM) med EJBCA EE henvises til den officielle EJBCA HSM-dokumentation.

Docker Setup

Vi leverer en komplet containeriseret opsætning til EJBCA EE-integration med NetHSM. Opsætningen inkluderer:

  • EJBCA EE container

  • NetHSM PKCS#11 sidecar container (p11ng)

  • NetHSM-container til testning

Du kan finde containerbilledet og konfigurationen i container/ejbca-ee/ directory of the netHSM-pkcs11 repository.

Mappen indeholder en komplet docker-compose.yml fil, der henter alle nødvendige komponenter, inklusive en NetHSM-instans til testformål. Dette giver et brugsklart miljø til at eksperimentere med EJBCA EE og NetHSM-integration.

Bemærk

Dockerfile og docker-compose.yml indeholder henvisninger til de officielle repositories, sørg for at køre docker login, før du bruger dem.

I øjeblikket er der en begrænsning i, at der ikke er nogen måde at vælge Padding Scheme for et bestemt Crypto Token. Derfor vil RSA altid bruge PKCS#1 padding (og ikke PSS).