EJBCA¶
Märkus
EJBCA nõuab vähemalt NetHSM v3 ja nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
EJBCA Community Edition on avatud lähtekoodiga PKI sertifitseerimisasutuse tarkvara.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Seejärel seadistage EJBCA kasutama NetHSM PKCS#11 moodulit, lisades kirje faili /etc/ejbca/conf/web.properties:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Märkus
418 nimes on indeks, mis peab olema unikaalne iga PKCS#11-mooduli jaoks konfiguratsioonifailis.
Pärast EJBCA taaskäivitamist saate lisada uue krüptotokumendi EJBCA Admin GUI’s https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Krüptotokendi tüüp on PKCS#11 Crypto Token ja krüptotokendi nimi on NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
EJBCA Enterprise Edition pakub täiustatud funktsioone ja ettevõtte toetust.
EJBCA EE konfiguratsioon erineb ühenduse versioonist. Selle asemel, et konfigureerida PKCS#11-moodulit otse EJBCAs, kasutatakse Enterprise Editionis külgkonteinerit. See külgkonteiner pakub p11ng (PKCS#11 Next Generation) ühendust NetHSMiga, mis võimaldab sujuvat integreerimist ilma EJBCA põhikonteinerit muutmata.
Üksikasjalikku teavet riistvaralise turvamooduli (HSM) seadistamise kohta EJBCA EEga leiate ametlikust EJBCA HSMi dokumentatsioonist.
Docker Setup¶
Pakume EJBCA EE integreerimiseks NetHSMiga täielikku konteineri seadistust. Seadistus sisaldab:
EJBCA EE container
NetHSM PKCS#11 külgkonteiner (p11ng)
NetHSM konteiner testimiseks
Konteineri kujutise ja konfiguratsiooni leiate container/ejbca-ee/ kataloogist NetHSM-pkcs11 repositooriumist.
Kataloog sisaldab täielikku docker-compose.yml faili, mis toob üles kõik vajalikud komponendid, sealhulgas NetHSMi instantsi testimise eesmärgil. See annab kasutusvalmis keskkonna EJBCA EE ja NetHSMi integreerimise katsetamiseks.
Märkus
Dockerfile ja docker-compose.yml sisaldavad viiteid ametlikele repositooriumidele, enne nende kasutamist tuleb kindlasti käivitada docker login.
Praegu on piiranguks see, et ei ole võimalik valida Padding Scheme konkreetse Crypto Token jaoks. Seetõttu kasutab RSA alati PKCS#1 polsterdust (mitte PSS).