EJBCA¶
Megjegyzés
Az EJBCA legalább NetHSM v3 és nethsm-pkcs11 v2 szükséges.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
Az EJBCA Community Edition egy nyílt forráskódú PKI Certificate Authority szoftver.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Ezután konfigurálja az EJBCA-t a NetHSM PKCS#11 modul használatára a /etc/ejbca/conf/web.properties fájlban található bejegyzés hozzáadásával:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Megjegyzés
A névben szereplő 418 egy index, amelynek a konfigurációs fájlban minden PKCS#11 modul esetében egyedinek kell lennie.
Az EJBCA újraindítása után az EJBCA Admin GUI-ban https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml adhat hozzá egy új kriptotokent. A kriptotoken típusa PKCS#11 Crypto Token, a kriptotoken neve pedig NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
Az EJBCA Enterprise Edition fejlett funkciókat és vállalati támogatást biztosít.
Az EJBCA EE konfigurációja eltér a közösségi kiadástól. Ahelyett, hogy a PKCS#11 modult közvetlenül az EJBCA-ban konfigurálná, az Enterprise Edition a oldalkocsis konténer megközelítést használja. Ez az oldalkocsis konténer biztosítja a p11ng (PKCS#11 Next Generation) kapcsolatot a NetHSM-mel, lehetővé téve a zökkenőmentes integrációt a fő EJBCA konténer módosítása nélkül.
A hardveres biztonsági modulok (HSM) EJBCA EE-vel történő konfigurálásával kapcsolatos részletes információkat a EJBCA HSM hivatalos dokumentációjában talál.
Docker Setup¶
Az EJBCA EE és a NetHSM integrációjához teljes konténeres beállítást biztosítunk. A telepítés a következőket tartalmazza:
EJBCA EE container
NetHSM PKCS#11 oldalkocsis konténer (p11ng)
NetHSM konténer teszteléshez
A konténerkép és a konfiguráció a container/ejbca-ee/ könyvtárban található a NetHSM-pkcs11 tárolóban.
A könyvtár tartalmaz egy teljes docker-compose.yml fájlt, amely az összes szükséges komponenst, köztük egy NetHSM példányt is felhozza tesztelési célokra. Ez egy azonnal használható környezetet biztosít az EJBCA EE és a NetHSM integrációval való kísérletezéshez.
Megjegyzés
Dockerfile és docker-compose.yml hivatkozásokat tartalmaz a hivatalos tárolókra, győződj meg róla, hogy lefuttatod a docker login mielőtt használnád őket.
Jelenleg az a korlátozás, hogy nincs mód a Padding Scheme kiválasztására egy adott Crypto Token Crypto Tokenhez. Ezért az RSA mindig a PKCS#1 kitöltést fogja használni (és nem a PSS-t).