EJBCA¶
Az EJBCA egy nyílt forráskódú PKI tanúsítványkiadó szoftver.
Ahhoz, hogy a NetHSM-et az EJBCA-val használhassa, először a oldalon kell beállítania a NetHSM PKCS#11 modult.
Ezután konfigurálja az EJBCA-t a NetHSM PKCS#11 modul használatára a /etc/ejbca/conf/web.properties fájlban található bejegyzés hozzáadásával:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
Megjegyzés
A névben szereplő 418 egy index, amelynek a konfigurációs fájlban minden PKCS#11 modul esetében egyedinek kell lennie.
Ahhoz, hogy kulcsokat tudjon generálni a felületről, a enable_set_attribute_value opciót true-ra kell állítani a p11nethsm.conf fájlban.
Figyelem
A Sun PKCS11 szolgáltatóval kapcsolatos integrációs problémák miatt az EJBCA által generált kulcsok véletlenszerű nevet kapnak az interfészben megadott név helyett.
Az EJBCA újraindítása után az EJBCA Admin GUI-ban https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml adhat hozzá egy új kriptotokent. A kriptotoken típusa PKCS#11 Crypto Token, a kriptotoken neve pedig NetHSM.
A példa végrehajtása¶
Ha kísérletezni akarsz az adott példával, akkor a git segítségével klónozd a nethsm-pkcs11 tárolót és futtasd a következő parancsokat:
Konfiguráljon egy NetHSM-et, akár egy valódi, akár egy konténert. További információkért lásd a getting-started guide.
Módosítsa a libnethsm_pkcs11 konfigurációját a NetHSM-nek megfelelően a
container/ejbca/p11nethsm.confcímen.Építse meg a konténert.
docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
Futtassa a konténert.
docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
A konténer elérhető lesz a https://localhost:9443/.