EJBCA¶
Note
L’EJBCA nécessite au moins NetHSM v3 et nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
EJBCA Community Edition est un logiciel d’autorité de certification PKI open source.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Configurez ensuite EJBCA pour qu’il utilise le module NetHSM PKCS#11 en ajoutant une entrée dans le fichier /etc/ejbca/conf/web.properties :
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Note
Le nom 418 est un index qui doit être unique pour chaque module PKCS#11 dans le fichier de configuration.
Après avoir redémarré EJBCA, vous pouvez ajouter un nouveau Crypto Token dans l’interface graphique d’administration d’EJBCA https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Le type de jeton de cryptage est PKCS#11 Crypto Token et le nom du jeton de cryptage est NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
L’EJBCA Enterprise Edition offre des fonctionnalités avancées et une assistance aux entreprises.
La configuration d’EJBCA EE diffère de celle de l’édition communautaire. Au lieu de configurer le module PKCS#11 directement dans EJBCA, l’édition Enterprise utilise une approche sidecar container. Ce conteneur fournit la connexion p11ng (PKCS#11 Next Generation) à NetHSM, permettant une intégration transparente sans modifier le conteneur principal EJBCA.
Pour des informations détaillées sur la configuration des modules de sécurité matériels (HSM) avec EJBCA EE, voir la documentation officielle EJBCA HSM.
Docker Setup¶
Nous fournissons une configuration conteneurisée complète pour l’intégration d’EJBCA EE avec NetHSM. L’installation comprend :
EJBCA EE container
Conteneur de sidecar PKCS#11 de NetHSM (p11ng)
Conteneur NetHSM pour les tests
Vous pouvez trouver l’image du conteneur et la configuration dans le répertoire container/ejbca-ee/ du dépôt NetHsm-pkcs11.
Le répertoire comprend un fichier complet docker-compose.yml qui fait apparaître tous les composants nécessaires, y compris une instance de NetHSM à des fins de test. Il s’agit d’un environnement prêt à l’emploi pour expérimenter l’intégration d’EJBCA EE et de NetHSM.
Note
Dockerfile et docker-compose.yml contiennent des références aux dépôts officiels, assurez-vous de lancer docker login avant de les utiliser.
Actuellement, une limitation est qu’il n’y a aucun moyen de sélectionner le Padding Scheme pour un Crypto Token particulier. Par conséquent, RSA utilisera toujours le système de remplissage PKCS#1 (et non PSS).