Nginx¶
Vous pouvez configurer nginx pour utiliser NetHSM via le moteur OpenSSL qui utilise alors le module PKCS#11 de NetHSM.
Le fichier de certificat doit se trouver sur le disque, mais la clé privée peut être utilisée à partir du NetHSM.
Un exemple complet est disponible à l’adresse ci-dessous.
Configuration d’OpenSSL¶
Configurez le moteur OpenSSL en suivant le guide d’installation du moteur OpenSSL.
Les fournisseurs ne sont pas encore pris en charge par Nginx.
Note
L’utilisation du moteur OpenSSL libp11 version 0.4.12 ou plus ancienne et d’un NetHSM avec beaucoup de clés rendra le chargement initial de Nginx lent (plus d’une minute pour 1 millier de clés). Il est recommandé d’utiliser la version 0.4.13 ou plus récente ou de construire le moteur à partir de la source.
Configuration de Nginx¶
ssl_engine pkcs11;
server {
listen 443 ssl;
server_name localhost;
ssl_certificate /certs/certificate.pem;
ssl_certificate_key "engine:pkcs11:pkcs11:object=webserver;type=private";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10s;
ssl_session_tickets off;
ssl_protocols TLSv1.3;
ssl_prefer_server_ciphers off;
# HSTS (ngx_http_headers_module is required) (63072000 seconds)
add_header Strict-Transport-Security "max-age=63072000" always;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
L’adresse ssl_certificate
doit pointer vers un fichier de certificat sur le disque.
Le ssl_certificate_key
peut être une configuration OpenSSL. Ici, nous utilisons le moteur OpenSSL avec le module PKCS#11 et sélectionnons la clé privée avec le label/ID webserver
et le type de clé private
.
ssl_certificate_key "engine:pkcs11:pkcs11:object=webserver;type=private";
Note
Vous devez générer le certificat séparément, puis le télécharger dans le NetHSM. Si le certificat sur le disque et la clé dans le NetHSM ne correspondent pas, nginx ne démarrera pas.
libnethsm_pkcs11 Configuration¶
slots:
- label: LocalHSM
description: Local HSM (docker)
url: "https://192.168.3.161:8443/api/v1"
operator:
username: "operator"
password: "opPassphrase"
Pour sécuriser le mot de passe, vous pouvez le fournir via une variable d’environnement) ou le fournir dans la configuration de nginx :
ssl_certificate_key "engine:pkcs11:pkcs11:object=webserver;type=private;pin=opPassphrase";
Exemple¶
Si vous voulez expérimenter avec l’exemple donné utilisez git pour cloner le dépôt nethsm-pkcs11 et exécutez les commandes suivantes :
Avertissement
L’exécution du script de génération supprime la clé webserver
et la remplace.
Configurer un NetHSM, soit un vrai, soit un conteneur. Voir le guide de démarrage pour plus d’informations. En plus d’un administrateur, vous aurez besoin d’un compte opérateur.
Téléchargez et installez la dernière version du pilote nethsm-pkcs11 disponible ici.
Installez le moteur PKCS11 d’OpenSSL comme décrit dans le manuel OpenSSL Manual. Il n’est pas nécessaire de créer un fichier de configuration.
Ajustez les variables
HOST
,ADMIN_ACCOUNT
etADMIN_ACCOUNT_PWD
danscontainer/nginx/generate.sh
de telle sorte queHOST
contienne l’URL et le port de votre NetHSM,ADMIN_ACCOUNT
contienne le nom d’utilisateur d’un compte administrateur etADMIN_ACCOUNT_PWD
le mot de passe correspondant. Configurez également le chemin absolu du moteur PKCS11 d’OpenSSL dansOPENSSL_PKCS11_ENGINE_PATH
et le chemin absolu de la bibliothèque PKCS11 de NetHSM dansNETHSM_PKCS11_LIBRARY_PATH
.Créez un fichier de configuration PKCS11 NetHSM dans l’un des emplacements connus, par exemple
/etc/nitrokey/p11nethsm.conf
. Il doit avoir configuré un compte opérateur et utiliser la même instance NetHSM que celle spécifiée dans le script de génération précédent.Mettez à jour la configuration PKCS11 dans
container/nginx/p11nethsm.conf
avec l’URL de votre NetHSMs et les informations d’identification de l’opérateur.Générer le certificat et la clé.
./container/nginx/generate.sh
Construire le conteneur.
docker build -f container/nginx/Dockerfile . -t pkcs-nginx
Exécuter le conteneur.
docker run -p 9443:443 -p 9080:80 pkcs-nginx
La page de test NGINX sera disponible à l’adresse https://localhost:9443/. Notez que votre navigateur, avec un peu de chance, vous avertira que le certificat du site web est auto-signé.