EJBCA¶
Σημείωση
Το EJBCA απαιτεί τουλάχιστον NetHSM v3 και nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
Το EJBCA Community Edition είναι ένα λογισμικό ανοικτού κώδικα PKI Certificate Authority.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Στη συνέχεια, ρυθμίστε το EJBCA ώστε να χρησιμοποιεί την ενότητα NetHSM PKCS#11 προσθέτοντας μια καταχώρηση στο αρχείο /etc/ejbca/conf/web.properties:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Σημείωση
Το 418 στο όνομα είναι ένας δείκτης που πρέπει να είναι μοναδικός για κάθε ενότητα PKCS#11 στο αρχείο ρυθμίσεων.
Μετά την επανεκκίνηση του EJBCA μπορείτε να προσθέσετε ένα νέο Crypto Token στο EJBCA Admin GUI https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Ο τύπος του Crypto Token είναι PKCS#11 Crypto Token και το όνομα του Crypto Token είναι NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
Η έκδοση EJBCA Enterprise Edition παρέχει προηγμένα χαρακτηριστικά και υποστήριξη για επιχειρήσεις.
Οι ρυθμίσεις για το EJBCA EE διαφέρουν από την κοινοτική έκδοση. Αντί να διαμορφώνει τη μονάδα PKCS#11 απευθείας στο EJBCA, η έκδοση Enterprise Edition χρησιμοποιεί μια προσέγγιση sidecar container. Αυτό το sidecar container παρέχει τη σύνδεση p11ng (PKCS#11 Next Generation) με το NetHSM, επιτρέποντας την απρόσκοπτη ενσωμάτωση χωρίς τροποποίηση του κύριου container του EJBCA.
Για λεπτομερείς πληροφορίες σχετικά με τη διαμόρφωση των μονάδων ασφαλείας υλικού (HSM) με το EJBCA EE, ανατρέξτε στην επίσημη τεκμηρίωση EJBCA HSM.
Docker Setup¶
Παρέχουμε μια πλήρη εγκατάσταση σε εμπορευματοκιβώτια για την ενσωμάτωση του EJBCA EE με το NetHSM. Η εγκατάσταση περιλαμβάνει:
EJBCA EE container
NetHSM PKCS#11 sidecar container (p11ng)
Δοχείο NetHSM για δοκιμές
Μπορείτε να βρείτε την εικόνα του δοχείου και τις ρυθμίσεις στον κατάλογο container/ejbca-ee/ του αποθετηρίου NetHSM-pkcs11.
Ο κατάλογος περιλαμβάνει ένα πλήρες αρχείο docker-compose.yml που εμφανίζει όλα τα απαραίτητα συστατικά, συμπεριλαμβανομένης μιας περίπτωσης NetHSM για σκοπούς δοκιμής. Αυτό παρέχει ένα έτοιμο προς χρήση περιβάλλον για τον πειραματισμό με την ενσωμάτωση του EJBCA EE και του NetHSM.
Σημείωση
Dockerfile και docker-compose.yml περιέχουν αναφορές στα επίσημα αποθετήρια, βεβαιωθείτε ότι έχετε εκτελέσει το docker login πριν τα χρησιμοποιήσετε.
Επί του παρόντος, ένας περιορισμός είναι ότι δεν υπάρχει τρόπος επιλογής του Padding Scheme για ένα συγκεκριμένο Crypto Token. Ως εκ τούτου, το RSA θα χρησιμοποιεί πάντα το PKCS#1 padding (και όχι το PSS).