EJBCA

EJBCA er en PKI Certificate Authority-software, der er tilgængelig som open source.

For at kunne bruge NetHSM med EJBCA skal du først setup NetHSM PKCS#11 module.

Konfigurer derefter EJBCA til at bruge NetHSM PKCS#11-modulet ved at tilføje en post i filen /etc/ejbca/conf/web.properties:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so

Bemærk

418 i navnet er et indeks, der skal være unikt for hvert PKCS#11-modul i konfigurationsfilen.

For at kunne generere nøgler fra grænsefladen skal du sætte enable_set_attribute_value optionen til true i p11nethsm.conf filen.

Advarsel

På grund af nogle integrationsproblemer med Sun PKCS11-provideren vil nøgler, der genereres fra EJBCA, have et tilfældigt navn i stedet for det navn, der er angivet i grænsefladen.

Efter genstart af EJBCA kan du tilføje et nyt Crypto Token i EJBCA Admin GUI https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Crypto Token-typen er PKCS#11 Crypto Token og Crypto Token-navnet er NetHSM.

Udførelse af eksemplet

Hvis du vil eksperimentere med det givne eksempel, kan du bruge git til at klone nethsm-pkcs11 repository og køre følgende kommandoer:

  • Konfigurer en NetHSM, enten en rigtig eller en container. Se getting-started guide for flere oplysninger.

  • Skift libnethsm_pkcs11-konfigurationen, så den passer til din NetHSM i container/ejbca/p11nethsm.conf.

  • Byg beholderen.

    docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
    
  • Kør containeren.

    docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
    

Containeren vil være tilgængelig på https://localhost:9443/.