EJBCA

Nota

EJBCA requiere al menos NetHSM v3 y nethsm-pkcs11 v2.

EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).

EJBCA Community

EJBCA Community Edition es un software de autoridad de certificación PKI de código abierto.

To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.

A continuación, configure EJBCA para que utilice el módulo PKCS#11 de NetHSM añadiendo una entrada en el archivo /etc/ejbca/conf/web.properties:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true

Nota

El 418 en el nombre es un índice que debe ser único para cada módulo PKCS#11 en el archivo de configuración.

Tras reiniciar EJBCA, puede añadir un nuevo token criptográfico en la interfaz gráfica de usuario del administrador de EJBCA https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. El tipo de token criptográfico es PKCS#11 Crypto Token y el nombre del token criptográfico es NetHSM.

Docker Example

We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.

EJBCA Enterprise

EJBCA Enterprise Edition proporciona funciones avanzadas y soporte empresarial.

La configuración para EJBCA EE difiere de la Edición Community. En lugar de configurar el módulo PKCS#11 directamente en EJBCA, la Enterprise Edition utiliza un contenedor sidecar **** . Este contenedor sidecar proporciona la conexión p11ng (PKCS#11 Next Generation) a NetHSM, lo que permite una integración perfecta sin modificar el contenedor principal de EJBCA.

Para obtener información detallada sobre la configuración de los módulos de seguridad de hardware (HSM) con EJBCA EE, consulte la documentación oficial de EJBCA HSM.

Docker Setup

Proporcionamos una configuración completa en contenedores para la integración de EJBCA EE con NetHSM. La configuración incluye:

  • EJBCA EE container

  • Contenedor lateral PKCS#11 de NetHSM (p11ng)

  • Contenedor NetHSM para pruebas

Puede encontrar la imagen del contenedor y la configuración en el directorio container/ejbca-ee/ del repositorio nethsm-pkcs11.

El directorio incluye un archivo completo docker-compose.yml que trae todos los componentes necesarios, incluida una instancia de NetHSM para realizar pruebas. Esto proporciona un entorno listo para experimentar con la integración de EJBCA EE y NetHSM.

Nota

Dockerfile y docker-compose.yml contienen referencias a los repositorios oficiales, asegúrese de ejecutar docker login antes de hacer uso de ellos.

Actualmente una limitación es que no hay forma de seleccionar el Padding Scheme para un determinado Crypto Token. Por lo tanto, RSA siempre utilizará el relleno PKCS#1 (y no PSS).