EJBCA

Προειδοποίηση

Because of some integration problems with the Sun PKCS11 provider, keys generated from EJBCA will have a random name instead of the name given in the interface. Therefor this documentation is only a Proof-of-Concept and we don’t currently support EJBCA.

Το EJBCA είναι ένα λογισμικό Αρχής Πιστοποιητικών PKI που διατίθεται ως ανοικτός κώδικας.

Για να μπορέσετε να χρησιμοποιήσετε το NetHSM με το EJBCA πρέπει πρώτα να ρυθμίσετε το ` <pkcs11-setup.html>`__ την ενότητα NetHSM PKCS#11.

Στη συνέχεια, ρυθμίστε το EJBCA ώστε να χρησιμοποιεί την ενότητα NetHSM PKCS#11 προσθέτοντας μια καταχώρηση στο αρχείο /etc/ejbca/conf/web.properties:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so

Σημείωση

Το 418 στο όνομα είναι ένας δείκτης που πρέπει να είναι μοναδικός για κάθε ενότητα PKCS#11 στο αρχείο ρυθμίσεων.

Για να μπορέσετε να δημιουργήσετε κλειδιά από τη διασύνδεση πρέπει να ορίσετε την επιλογή enable_set_attribute_value σε true στο αρχείο p11nethsm.conf.

Μετά την επανεκκίνηση του EJBCA μπορείτε να προσθέσετε ένα νέο Crypto Token στο EJBCA Admin GUI https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Ο τύπος του Crypto Token είναι PKCS#11 Crypto Token και το όνομα του Crypto Token είναι NetHSM.

Εκτέλεση του παραδείγματος

Αν θέλετε να πειραματιστείτε με το συγκεκριμένο παράδειγμα, μπορείτε να χρησιμοποιήσετε το git για να κλωνοποιήσετε το αποθετήριο nethsm-pkcs11 και να εκτελέσετε τις ακόλουθες εντολές:

  • Configure a NetHSM, either a real one or a container. Refer to chapter Getting Started to learn more.

  • Αλλάξτε τις ρυθμίσεις του libnethsm_pkcs11 ώστε να ταιριάζουν με το δικό σας NetHSM στο container/ejbca/p11nethsm.conf.

  • Κατασκευάστε το δοχείο.

    docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
    
  • Εκτελέστε το εμπορευματοκιβώτιο.

    docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
    

Το εμπορευματοκιβώτιο θα είναι διαθέσιμο στη διεύθυνση https://localhost:9443/.