Configuration PKCS#11#

Installation#

Vous pouvez obtenir le module PKCS#11 de NetHSM sous la forme d’un binaire précompilé ou le compiler à partir des sources.

Binaires précompilés#

  1. Téléchargez le fichier du module correspondant à votre système à partir de la page releases du référentiel.

  2. Copiez le fichier du module dans le répertoire où vos applications PKCS#11 s’attendent à le trouver.

Compilation à partir de la source#

  1. Installer la chaîne d’outils Rust ` <https://www.rust-lang.org/tools/install>` __.

  2. Téléchargez et extrayez les sources à partir de la page releases ou clonez le dépôt ` <https://github.com/Nitrokey/nethsm-pkcs11>` __.

  3. Exécutez cargo build --release dans le répertoire source.

Configuration#

Par défaut, le module recherche les fichiers de configuration dans :

  • /etc/nitrokey/p11nethsm.conf

  • /usr/local/etc/nitrokey/p11nethsm.conf

  • $HOME/.config/nitrokey/p11nethsm.conf

Si plusieurs fichiers sont présents, les configurations seront fusionnées de manière à ce que les emplacements de tous les fichiers de configuration soient utilisés par le module.

Vous pouvez définir manuellement l’emplacement du fichier de configuration (seul celui-ci sera lu) avec la variable env P11NETHSM_CONFIG_FILE (par exemple P11NETHSM_CONFIG_FILE=./p11nethsm.conf).

Format du fichier de configuration#

La configuration est formatée en yaml :

# Set this option to true to enable the compatibility option for the C_SetAttributeValue() function.
# This allows the applications using the Java Sun PKCS11 module (like EJBCA) to generate keys.
# When using this, the names given to the keys will be ignored and the keys will have random names.
# Under the hood it will store in memory the name given to the key when calling C_SetAttributeValue(). When a certificate is uploaded it will check if the name was previously passed to C_SetAttributeValue() and translate it to the real name on the NetHSM.
enable_set_attribute_value: false

# You can set the log file location here.
# If no value is set the module will output to stderr.
# If a value is set it will output to the file.
log_file: /tmp/p11nethsm.log
# Optional log level
log_level: Debug

# Each "slot" represents a NetHSM server
slots:
  - label: LocalHSM                        # Name you NetHSM however you want
    description: Local HSM (docker)        # Optional description

    # Users connecting to the NetHSM server
    operator:
      username: "operator"
      password: "env:LOCALHSMPASS"
    administrator:
      username: "admin"

    # List the NetHSM instances
    instances:
      - url: "https://keyfender:8443/api/v1"   # URL to reach the server
        # When the NetHSM has a self-signed certificate, it can be verified by a sha256 fingerprint of the NetHSM's certificate:
        sha256_fingerprints:
          - "31:92:8E:A4:5E:16:5C:A7:33:44:E8:E9:8E:64:C4:AE:7B:2A:57:E5:77:43:49:F3:69:C9:8F:C4:2F:3A:3B:6E"

Instances#

Si plusieurs instances NetHSM sont répertoriées dans le même emplacement, ces instances doivent être configurées dans un cluster. Les informations d’identification des utilisateurs et les clés doivent être identiques sur toutes les instances.

Le module utilisera les instances de manière rotative, en essayant une autre instance si l’une d’entre elles échoue.

Utilisateurs#

Les utilisateurs opérateur et administrateur sont tous deux facultatifs, mais le module ne démarrera pas si aucun utilisateur n’est configuré. Vous pouvez ainsi configurer le module avec un seul utilisateur administrateur, un seul utilisateur opérateur ou les deux à la fois.

Lorsque les deux utilisateurs sont définis, le module utilise l’opérateur par défaut et n’utilise l’administrateur que lorsque l’action le nécessite.

L’utilisateur PKCS11 normal est associé à l’opérateur NetHSM et l’OS PKCS11 est associé à l’administrateur NetHSM.

Mots de passe#

Le mot de passe peut être fourni par plusieurs moyens :

  • En texte clair dans la configuration password: "mypassword"

  • Dans une variable d’environnement lue par le module avec le préfixe env: : env:ENV_STORING_THE_PASSWORD

  • Via la fonction login de pkcs11, exemple pour pcks11-tool : pkcs11-tool --module libnethsm_pkcs11.so -p opPassphrase Pour fournir le mot de passe administrateur, vous devez utiliser --so-pin à la place : pkcs11-tool --module libnethsm_pkcs11.so --login --login-type so --so-pin Administrator

Si le mot de passe d’un utilisateur n’est pas défini dans le fichier de configuration, une connexion sera requise pour fournir le mot de passe (3ème méthode).

Un NetHSM qui n’est pas opérationnel est considéré comme un slot dont le jeton n’est pas présent.