Ρύθμιση PKCS#11#

Εγκατάσταση#

Μπορείτε είτε να λάβετε την ενότητα NetHSM PKCS#11 ως προμεταγλωττισμένο δυαδικό αρχείο είτε να τη μεταγλωττίσετε από τον πηγαίο κώδικα.

Προμεταγλωττισμένα δυαδικά αρχεία#

  1. Κατεβάστε το αρχείο της ενότητας που αντιστοιχεί στο σύστημά σας από τη σελίδα releases του αποθετηρίου.

  2. Αντιγράψτε το αρχείο της ενότητας στον κατάλογο όπου οι εφαρμογές PKCS#11 περιμένουν να το βρουν.

Μεταγλώττιση από την πηγή#

  1. Εγκαταστήστε το Rust toolchain.

  2. Κατεβάστε και εξάγετε τον πηγαίο κώδικα από τη σελίδα releases ή κλωνοποιήστε το αποθετήριο ` <https://github.com/Nitrokey/nethsm-pkcs11>` __.

  3. Εκτελέστε το cargo build --release στον κατάλογο πηγής.

Διαμόρφωση#

Από προεπιλογή, η ενότητα αναζητά αρχεία ρυθμίσεων στο:

  • /etc/nitrokey/p11nethsm.conf

  • /usr/local/etc/nitrokey/p11nethsm.conf

  • $HOME/.config/nitrokey/p11nethsm.conf

Αν υπάρχουν πολλά αρχεία, οι ρυθμίσεις θα συγχωνευθούν έτσι ώστε οι θέσεις όλων των αρχείων ρυθμίσεων να χρησιμοποιηθούν από την ενότητα.

Μπορείτε να ορίσετε χειροκίνητα τη θέση του αρχείου ρυθμίσεων (μόνο αυτό θα διαβαστεί) με τη μεταβλητή env P11NETHSM_CONFIG_FILE (π.χ. P11NETHSM_CONFIG_FILE=./p11nethsm.conf).

Μορφή αρχείου διαμόρφωσης#

Η διαμόρφωση είναι σε μορφή yaml:

# Set this option to true to enable the compatibility option for the C_SetAttributeValue() function.
# This allows the applications using the Java Sun PKCS11 module (like EJBCA) to generate keys.
# When using this, the names given to the keys will be ignored and the keys will have random names.
# Under the hood it will store in memory the name given to the key when calling C_SetAttributeValue(). When a certificate is uploaded it will check if the name was previously passed to C_SetAttributeValue() and translate it to the real name on the NetHSM.
enable_set_attribute_value: false

# You can set the log file location here.
# If no value is set the module will output to stderr.
# If a value is set it will output to the file.
log_file: /tmp/p11nethsm.log
# Optional log level
log_level: Debug

# Each "slot" represents a NetHSM server
slots:
  - label: LocalHSM                        # Name you NetHSM however you want
    description: Local HSM (docker)        # Optional description

    # Users connecting to the NetHSM server
    operator:
      username: "operator"
      password: "env:LOCALHSMPASS"
    administrator:
      username: "admin"

    # List the NetHSM instances
    instances:
      - url: "https://keyfender:8443/api/v1"   # URL to reach the server
        # When the NetHSM has a self-signed certificate, it can be verified by a sha256 fingerprint of the NetHSM's certificate:
        sha256_fingerprints:
          - "31:92:8E:A4:5E:16:5C:A7:33:44:E8:E9:8E:64:C4:AE:7B:2A:57:E5:77:43:49:F3:69:C9:8F:C4:2F:3A:3B:6E"

Περιπτώσεις#

Εάν στην ίδια υποδοχή αναφέρονται πολλές περιπτώσεις NetHSM, οι εν λόγω περιπτώσεις πρέπει να διαμορφωθούν σε συστάδα. Τα διαπιστευτήρια των χρηστών και τα κλειδιά πρέπει να είναι τα ίδια σε όλες τις περιπτώσεις.

Η ενότητα θα χρησιμοποιήσει τις περιπτώσεις με κυκλικό τρόπο, δοκιμάζοντας μια άλλη περίπτωση αν αποτύχει μία.

Χρήστες#

Οι χρήστες χειριστής και διαχειριστής είναι προαιρετικοί, αλλά η ενότητα δεν θα ξεκινήσει αν δεν έχει ρυθμιστεί κανένας χρήστης. Αυτό γίνεται για να μπορείτε να ρυθμίσετε τη μονάδα μόνο με χρήστη διαχειριστή, μόνο με χρήστη χειριστή ή και με τους δύο ταυτόχρονα.

Όταν οριστούν οι δύο χρήστες, η ενότητα θα χρησιμοποιεί τον χειριστή από προεπιλογή και θα χρησιμοποιεί τον χρήστη διαχειριστή μόνο όταν το χρειάζεται η ενέργεια.

Ο κανονικός χρήστης PKCS11 αντιστοιχίζεται στον χειριστή του NetHSM και ο χρήστης PKCS11 SO αντιστοιχίζεται στον διαχειριστή του NetHSM.

Κωδικοί πρόσβασης#

Ο κωδικός πρόσβασης μπορεί να παρέχεται με πολλαπλά μέσα:

  • Σε απλό κείμενο στη ρύθμιση παραμέτρων password: "mypassword"

  • Σε μια μεταβλητή περιβάλλοντος που διαβάζεται από την ενότητα με το πρόθεμα env:: env:ENV_STORING_THE_PASSWORD

  • Μέσω της λειτουργίας σύνδεσης του pkcs11, παράδειγμα για το pcks11-tool: pkcs11-tool --module libnethsm_pkcs11.so -p opPassphrase Για να δώσετε τον κωδικό πρόσβασης του διαχειριστή πρέπει να χρησιμοποιήσετε το --so-pin: pkcs11-tool --module libnethsm_pkcs11.so --login --login-type so --so-pin Administrator

Εάν ο κωδικός πρόσβασης ενός χρήστη δεν έχει οριστεί στο αρχείο ρυθμίσεων, θα απαιτηθεί σύνδεση για την παροχή του κωδικού πρόσβασης (3η μέθοδος).

Ένα NetHSM που δεν είναι λειτουργικό θεωρείται ως υποδοχή με το κουπόνι να μην υπάρχει.