EJBCA¶
EJBCA on avatud lähtekoodiga PKI-sertifikaadiasutuse tarkvara.
Selleks, et saaksite kasutada NetHSMi koos EJBCAga, peate kõigepealt seadistama ` <pkcs11-setup.html>`__ NetHSM PKCS#11 mooduli.
Seejärel seadistage EJBCA kasutama NetHSM PKCS#11 moodulit, lisades kirje faili /etc/ejbca/conf/web.properties
:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
Märkus
418
nimes on indeks, mis peab olema unikaalne iga PKCS#11-mooduli jaoks konfiguratsioonifailis.
Selleks, et oleks võimalik genereerida võtmeid liidesest, tuleb p11nethsm.conf
failis enable_set_attribute_value
määrata valikuks true.
Hoiatus
Mõningate integreerimisprobleemide tõttu Sun PKCS11 teenusepakkujaga on EJBCA-st genereeritud võtmetel juhuslik nimi liideses antud nime asemel.
Pärast EJBCA taaskäivitamist saate lisada uue krüptotokumendi EJBCA Admin GUI’s https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml
. Krüptotokendi tüüp on PKCS#11 Crypto Token
ja krüptotokendi nimi on NetHSM
.
Näite täitmine¶
Kui soovite antud näitega eksperimenteerida, võite kasutada git’i, et kloonida nethsm-pkcs11 repositooriumi ja käivitada järgmised käsud:
Konfigureerige NetHSM, kas tõeline või konteiner. Lisateavet leiate getting-started guide.
Muutke libnethsm_pkcs11 konfiguratsiooni vastavalt teie NetHSMile aadressil
container/ejbca/p11nethsm.conf
.Ehitage konteiner.
docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
Käivitage konteiner.
docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
Konteiner on saadaval aadressil https://localhost:9443/.