EJBCA¶
Προειδοποίηση
Because of some integration problems with the Sun PKCS11 provider, keys generated from EJBCA will have a random name instead of the name given in the interface. Therefor this documentation is only a Proof-of-Concept. Support for EJBCA will be introduced by NetHSM software 3.0.
Το EJBCA είναι ένα λογισμικό Αρχής Πιστοποιητικών PKI που διατίθεται ως ανοικτός κώδικας.
Για να μπορέσετε να χρησιμοποιήσετε το NetHSM με το EJBCA πρέπει πρώτα να ρυθμίσετε το ` <pkcs11-setup.html>`__ την ενότητα NetHSM PKCS#11.
Στη συνέχεια, ρυθμίστε το EJBCA ώστε να χρησιμοποιεί την ενότητα NetHSM PKCS#11 προσθέτοντας μια καταχώρηση στο αρχείο /etc/ejbca/conf/web.properties:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
Σημείωση
Το 418 στο όνομα είναι ένας δείκτης που πρέπει να είναι μοναδικός για κάθε ενότητα PKCS#11 στο αρχείο ρυθμίσεων.
Για να μπορέσετε να δημιουργήσετε κλειδιά από τη διασύνδεση πρέπει να ορίσετε την επιλογή enable_set_attribute_value σε true στο αρχείο p11nethsm.conf.
Μετά την επανεκκίνηση του EJBCA μπορείτε να προσθέσετε ένα νέο Crypto Token στο EJBCA Admin GUI https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Ο τύπος του Crypto Token είναι PKCS#11 Crypto Token και το όνομα του Crypto Token είναι NetHSM.
Εκτέλεση του παραδείγματος¶
Αν θέλετε να πειραματιστείτε με το συγκεκριμένο παράδειγμα, μπορείτε να χρησιμοποιήσετε το git για να κλωνοποιήσετε το αποθετήριο nethsm-pkcs11 και να εκτελέσετε τις ακόλουθες εντολές:
Configure a NetHSM, either a real one or a container. Refer to chapter Getting Started to learn more.
Αλλάξτε τις ρυθμίσεις του libnethsm_pkcs11 ώστε να ταιριάζουν με το δικό σας NetHSM στο
container/ejbca/p11nethsm.conf.Κατασκευάστε το δοχείο.
docker build -f container/ejbca/Dockerfile . -t pkcs-ejbcaΕκτελέστε το εμπορευματοκιβώτιο.
docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
Το εμπορευματοκιβώτιο θα είναι διαθέσιμο στη διεύθυνση https://localhost:9443/.