PKCS#11 seadistamine

Paigaldamine

Saate NetHSM PKCS#11 mooduli kas eelkompileeritud binaarsüsteemina või kompileerida selle lähtekoodist.

Eelkompileeritud binaarsed failid

  1. Laadige oma süsteemile vastav moodulifail alla hoidla releases leheküljelt.

  2. Kopeerige moodulifail kataloogi, kust teie PKCS#11 rakendused seda ootavad.

Kompileeri lähtekohast

  1. Paigalda Rust toolchain.

  2. Laadige ja ekstraheerige lähtekood releases lehelt või kloonige repositooriumi.

  3. Käivita cargo build --release lähtekataloogis.

Konfiguratsioon

Vaikimisi otsib moodul konfiguratsioonifaile aadressil:

  • „/etc/nitrokey/p11nethsm.conf

  • „/usr/local/etc/nitrokey/p11nethsm.conf

  • „$HOME/.config/nitrokey/p11nethsm.conf

Mitme faili olemasolul liidetakse konfiguratsioonid nii, et moodul kasutab kõigi konfiguratsioonifailide kohti.

Saate käsitsi määrata konfigifaili asukoha (ainult seda loetakse) muutujaga env P11NETHSM_CONFIG_FILE (nt P11NETHSM_CONFIG_FILE=./p11nethsm.conf).

Konfiguratsioonifaili vorming

Konfiguratsioon on yaml-formaadis:

# Set this option to true to enable the compatibility option for the C_SetAttributeValue() function.
# This allows the applications using the Java Sun PKCS11 module (like EJBCA) to generate keys.
# When using this, the names given to the keys will be ignored and the keys will have random names.
# Under the hood it will store in memory the name given to the key when calling C_SetAttributeValue(). When a certificate is uploaded it will check if the name was previously passed to C_SetAttributeValue() and translate it to the real name on the NetHSM.
enable_set_attribute_value: false

# Optional log level, acceptable  values are Trace, Debug, Info, Warn and Error
log_level: Debug

# By default, the module logs to both syslog and stderr, trying the sockets /dev/log, /var/run/syslog and finally /var/run/log
# A custom socket can be configured:
syslog_socket: /var/nethsm/log
# Instead of a socket, a custom UDP or TCP syslog can be configured:
# syslog_udp:
#    to_addr: 127.0.0:1:514
#    from_addr: 127.0.0:1:4789
# syslog_tcp: 127.0.0.1:601
# Only one option among "syslog_socket", "syslog_udp", "syslog_tcp" can be configured at the same time

# You can configure the syslog facility ( "kern", "user", "mail", "daemon", "auth", "syslog", "lpr", "news", "uucp", "cron", "authpriv", "ftp", "local0", "local1", "local2", "local3", "local4", "local5", "local6" or "local7"):
syslog_facility: "user"
# You can set the hostname (for use only with syslog_udp or syslog_tcp)
# syslog_hostname: "localhsm-pkcs11"
# You can set the process name (defaults to the process name obtained from the OS)
# syslog_process: "NetHSM Pkcs11"
# You can set the pid used in logs (defaults to the process id obtained from the OS)
# syslog_pid: 0
# You can also configure a custom file, or "-" for stderr.
# log_file: /tmp/p11nethsm.log

# Each "slot" represents a HSM cluster of server that share the same user and keys.
slots:
  - label: LocalHSM                        # Name your NetHSM however you want
    description: Local HSM (docker)        # Optional description

    # Users connecting to the NetHSM server
    operator:
      username: "operator"
      # If the password starts with `env:`, it will obtain the password from an environment variable:
      # password: "env:LOCALHSMPASS"
      password: "localpass"
    administrator:
      username: "admin"

    # List the NetHSM instances
    instances:
      - url: "https://keyfender:8443/api/v1"   # URL to reach the server
        # To avoid having to re-open connections on each requests, the module keeps a connection pool to each instance. If the module is used by a multithreaded application, multiple connections can be opened at the same time.
        # This configures the maximum number of connections in the pool at the same time.
        # Note that this does not limit the total number of open connections.
        # Having a degree of parrallelism that is higher than the max number of idle connection can lead overhead as those connections will be closed an re-opened frenquently
        max_idle_connections: 10
        # By default, the certificate of the HSM will be validated using the system's root certificate authority.
        # When the NetHSM uses a self-signed certificate, it can be verified against an allowed list of sha256 fingerprint of the NetHSM's certificate:
        sha256_fingerprints:
          - "31:92:8E:A4:5E:16:5C:A7:33:44:E8:E9:8E:64:C4:AE:7B:2A:57:E5:77:43:49:F3:69:C9:8F:C4:2F:3A:3B:6E"
        # Alternatively certificate checks can be skipped entirely with danger_insecure_cert option.
        # This should be avoided if possible and certainly not used with a productive NetHSM.
        # danger_insecure_cert: true
    # Configure the network retry mechanism. If absent, no retries are attempted on a network error
    retries:
      # The number of retries after a network error
      count: 3
      # The delay between retries, in integer seconds
      delay_seconds: 1
    # it is possible to configure idle connections to make use of TCP keepalives, preventing the closing of connections by a firewall or detecting such cases
    tcp_keepalive:
      # the number of seconds before keepalives packets start being sent
      # Corresponds to `TCP_KEEPIDLE` on Linux, `TCP_KEEPALIVE` on macOS, and the field keepalivetime of tcp_keepalive on Windows
      time_seconds: 600
      # the number of seconds between each keepalive packet
      # Corresponds to `TCP_KEEPINTVL` on Linux and macOS, and the field keepaliveinterval of tcp_keepalive on Windows
      interval_seconds: 60
      # the number of keepalive packets being sent without a response before the connection
      # is considered closed
      # Corresponds to `TCP_KEEPCNT` on Linux and macOS, and is not used on Windows
      retries: 3
    # Time a connection can spend idle before being closed
    connections_max_idle_duration: 1800
    # Configurable timeout for network operations. If a network operation takes more than, `timeout_seconds`, consider it failed. If `retries` is configured, it will be retried.
    # Defaults to infinite
    timeout_seconds: 10

Instants

Kui mitu NetHSMi instantsi on loetletud samas pesa, tuleb need instantsid konfigureerida klastriks. Kasutajate volitused ja võtmed peavad olema kõigil instantsidel samad.

Moodul kasutab instantse kordamööda, proovides teist instantsi, kui üks neist ei toimi.

Võrgu usaldusväärsus

PKCS#11-mooduli töökindluse parandamiseks on võimalik seadistada ajaülejääke, korduvkatsetusi, instantsi redundantsust ja TCP keepalive’i.

Uuesti proovib

Kui NetHSMi instantsi ei ole võimalik saavutada, on PKCS#11 moodul võimeline uuesti proovima taotluse saatmist teistele instantsidele või samale instantsile (kui teised instantsid on samuti kättesaamatud). Korduskatsete vahele on võimalik kehtestada viivitus.

  • Ebaõnnestunud instantsid märgistatakse kättesaamatuks ja neid proovitakse uuesti taustaliinis, nii et neid ei proovita, kui kõik instantsid ei ole kättesaamatuid

  • Kui taustalõnga ei saa luua (CKF_LIBRARY_CANT_CREATE_OS_THREADS), üritatakse ebaõnnestunud instantse tavaliste toimingute ajal, mis aeglustab taotlusi. Selle minimeerimiseks on sellised „inline“ tervisekontrollid piiratud 1 sekundi pikkuste aegumistega ja ühe taotluse kohta võib proovida ainult 3 tervisekontrolli (see on halvim olukord, mis võib tekkida ainult siis, kui suur hulk instantse ebaõnnestub).

Seega:

  • Ühe API-kõne puhul saadetavate päringute maksimaalne arv on: retries.count + 1 + 3

  • Maksimaalne (halvimal juhul) kestus enne ühe API-kõne aegumist on: (retries.count + 1) * timeout_seconds + 3) * ` ` + 3

  • Ühe PKCS#11 funktsioonikõne maksimaalne ajakulu on erinev, sest mõned funktsioonid toovad NetHSMis kaasa mitu API-kõnet.

TCP keepalive

Et parandada jõudlust, hoitakse NetHSMi instantside ühendused avatuna, et vältida nende uuesti avamise vajadust. On võimalik, et tulemüüriga võrgus võidakse need tühikäigul olevad ühendused sulgeda, mis viib järgmise ühenduskatse aegumiseni. Selleks, et vältida aeglast aeglustumist ja seda varem avastada, kui see juhtub, on võimalik nende jaoks konfigureerida TCP keepalive’i.

Kasutajad

Operaatori ja administraatori kasutajad on mõlemad vabatahtlikud, kuid moodul ei käivitu, kui ühtegi kasutajat ei ole konfigureeritud. See on nii, et saate moodulit konfigureerida ainult administraatori kasutajaga, ainult operaatori kasutajaga või mõlemaga korraga.

Kui kaks kasutajat on määratud, kasutab moodul vaikimisi operaatorit ja kasutab administraatori kasutajat ainult siis, kui tegevus seda vajab.

Tavaline PKCS#11 kasutaja on määratud NetHSMi operaatorile ja PKCS#11 SO on määratud NetHSMi administraatorile.

Paroolid

Parooli saab esitada mitmel viisil:

  • Lihtkirjas konfiguratsioonis password: "mypassword"

  • Keskkonnamuutuja, mida loeb moodul eesliitega env:: env:ENV_STORING_THE_PASSWORD

  • pkcs11 sisselogimisfunktsiooni kaudu, näiteks pcks11-tool: pkcs11-tool –module libnethsm_pkcs11.so -p opPassphrase –so-pin` administraatori parooli andmiseks tuleb kasutada hoopis `` : ``pkcs11-tool –module libnethsm_pkcs11.so –login –login-type so –so-pin Administrator`

Kui kasutaja salasõna ei ole konfiguratsioonifailis määratud, tuleb salasõna sisestada (3. meetod).

NetHSM, mis ei ole töökorras, loetakse pesa, mille märgis puudub.