EJBCA

EJBCA on avatud lähtekoodiga PKI-sertifikaadiasutuse tarkvara.

Selleks, et saaksite kasutada NetHSMi koos EJBCAga, peate kõigepealt seadistama ` <pkcs11-setup.html>`__ NetHSM PKCS#11 mooduli.

Seejärel seadistage EJBCA kasutama NetHSM PKCS#11 moodulit, lisades kirje faili /etc/ejbca/conf/web.properties:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so

Märkus

418 nimes on indeks, mis peab olema unikaalne iga PKCS#11-mooduli jaoks konfiguratsioonifailis.

Selleks, et oleks võimalik genereerida võtmeid liidesest, tuleb p11nethsm.conf failis enable_set_attribute_value määrata valikuks true.

Hoiatus

Mõningate integreerimisprobleemide tõttu Sun PKCS11 teenusepakkujaga on EJBCA-st genereeritud võtmetel juhuslik nimi liideses antud nime asemel.

Pärast EJBCA taaskäivitamist saate lisada uue krüptotokumendi EJBCA Admin GUI’s https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Krüptotokendi tüüp on PKCS#11 Crypto Token ja krüptotokendi nimi on NetHSM.

Näite täitmine

Kui soovite antud näitega eksperimenteerida, võite kasutada git’i, et kloonida nethsm-pkcs11 repositooriumi ja käivitada järgmised käsud:

  • Konfigureerige NetHSM, kas tõeline või konteiner. Lisateavet leiate getting-started guide.

  • Muutke libnethsm_pkcs11 konfiguratsiooni vastavalt teie NetHSMile aadressil container/ejbca/p11nethsm.conf.

  • Ehitage konteiner.

    docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
    
  • Käivitage konteiner.

    docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
    

Konteiner on saadaval aadressil https://localhost:9443/.