EJBCA¶
Bemerkung
EJBCA erfordert mindestens NetHSM v3 und nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
EJBCA Community Edition ist eine quelloffene PKI-Zertifizierungsstellen-Software.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Dann konfigurieren Sie EJBCA für die Verwendung des NetHSM PKCS#11-Moduls, indem Sie einen Eintrag in der Datei /etc/ejbca/conf/web.properties hinzufügen:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Bemerkung
Das 418 im Namen ist ein Index, der für jedes PKCS#11-Modul in der Konfigurationsdatei eindeutig sein muss.
Nach dem Neustart von EJBCA können Sie ein neues Crypto Token in der EJBCA Admin GUI https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml hinzufügen. Der Crypto Token Typ ist PKCS#11 Crypto Token und der Crypto Token Name ist NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
Die EJBCA Enterprise Edition bietet erweiterte Funktionen und Unterstützung für Unternehmen.
Die Konfiguration für EJBCA EE unterscheidet sich von der Community Edition. Anstatt das PKCS#11 Modul direkt in EJBCA zu konfigurieren, verwendet die Enterprise Edition einen Sidecar Container Ansatz. Dieser Sidecar-Container stellt die p11ng (PKCS#11 Next Generation)-Verbindung zu NetHSM bereit und ermöglicht so eine nahtlose Integration ohne Änderung des EJBCA-Hauptcontainers.
Ausführliche Informationen zur Konfiguration von Hardware-Sicherheitsmodulen (HSM) mit EJBCA EE finden Sie in der offiziellen Dokumentation EJBCA HSM.
Docker Setup¶
Wir bieten ein komplettes containerisiertes Setup für die Integration von EJBCA EE mit NetHSM. Das Setup umfasst:
EJBCA EE container
NetHSM PKCS#11-Sidecar-Container (p11ng)
NetHSM-Container für die Prüfung
Sie finden das Container-Image und die Konfiguration im Verzeichnis container/ejbca-ee/ des nethsm-pkcs11-Repositorys.
Das Verzeichnis enthält eine vollständige docker-compose.yml Datei, die alle erforderlichen Komponenten, einschließlich einer NetHSM-Instanz für Testzwecke, bereitstellt. Damit steht eine einsatzbereite Umgebung zum Experimentieren mit EJBCA EE und der NetHSM-Integration zur Verfügung.
Bemerkung
Dockerfile und docker-compose.yml enthalten Verweise auf die offiziellen Repositories, stellen Sie sicher, dass Sie docker login ausführen, bevor Sie sie verwenden.
Derzeit besteht eine Einschränkung darin, dass es keine Möglichkeit gibt, das Padding Scheme für ein bestimmtes Crypto Token auszuwählen. Daher wird RSA immer PKCS#1 Padding (und nicht PSS) verwenden.