EJBCA

Το EJBCA είναι ένα λογισμικό Αρχής Πιστοποιητικών PKI που διατίθεται ως ανοικτός κώδικας.

Για να μπορέσετε να χρησιμοποιήσετε το NetHSM με το EJBCA πρέπει πρώτα να ρυθμίσετε το ` <pkcs11-setup.html>`__ την ενότητα NetHSM PKCS#11.

Στη συνέχεια, ρυθμίστε το EJBCA ώστε να χρησιμοποιεί την ενότητα NetHSM PKCS#11 προσθέτοντας μια καταχώρηση στο αρχείο /etc/ejbca/conf/web.properties:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so

Σημείωση

Το 418 στο όνομα είναι ένας δείκτης που πρέπει να είναι μοναδικός για κάθε ενότητα PKCS#11 στο αρχείο ρυθμίσεων.

Για να μπορέσετε να δημιουργήσετε κλειδιά από τη διασύνδεση πρέπει να ορίσετε την επιλογή enable_set_attribute_value σε true στο αρχείο p11nethsm.conf.

Προειδοποίηση

Λόγω ορισμένων προβλημάτων ενσωμάτωσης με τον πάροχο Sun PKCS11, τα κλειδιά που παράγονται από το EJBCA θα έχουν ένα τυχαίο όνομα αντί για το όνομα που δίνεται στη διασύνδεση.

Μετά την επανεκκίνηση του EJBCA μπορείτε να προσθέσετε ένα νέο Crypto Token στο EJBCA Admin GUI https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Ο τύπος του Crypto Token είναι PKCS#11 Crypto Token και το όνομα του Crypto Token είναι NetHSM.

Εκτέλεση του παραδείγματος

Αν θέλετε να πειραματιστείτε με το συγκεκριμένο παράδειγμα, μπορείτε να χρησιμοποιήσετε το git για να κλωνοποιήσετε το αποθετήριο nethsm-pkcs11 και να εκτελέσετε τις ακόλουθες εντολές:

  • Διαμορφώστε ένα NetHSM, είτε ένα πραγματικό είτε ένα δοχείο. Ανατρέξτε στον οδηγό getting-started guide για περισσότερες πληροφορίες.

  • Αλλάξτε τις ρυθμίσεις του libnethsm_pkcs11 ώστε να ταιριάζουν με το δικό σας NetHSM στο container/ejbca/p11nethsm.conf.

  • Κατασκευάστε το δοχείο.

    docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
    
  • Εκτελέστε το εμπορευματοκιβώτιο.

    docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
    

Το εμπορευματοκιβώτιο θα είναι διαθέσιμο στη διεύθυνση https://localhost:9443/.