EJBCA¶
Nota
EJBCA richiede almeno NetHSM v3 e nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
EJBCA Community Edition è un software open source per l’autorità di certificazione PKI.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Configurare quindi EJBCA per utilizzare il modulo NetHSM PKCS#11 aggiungendo una voce nel file /etc/ejbca/conf/web.properties:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Nota
Il 418 nel nome è un indice che deve essere unico per ogni modulo PKCS#11 nel file di configurazione.
Dopo aver riavviato EJBCA è possibile aggiungere un nuovo token di crittografia nella GUI di amministrazione di EJBCA https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Il tipo di Crypto Token è PKCS#11 Crypto Token e il nome del Crypto Token è NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
EJBCA Enterprise Edition offre funzionalità avanzate e supporto aziendale.
La configurazione di EJBCA EE è diversa da quella della Community Edition.** Invece di configurare il modulo PKCS#11 direttamente in EJBCA, l’Enterprise Edition utilizza un approccio basato sul contenitore sidecar **. Questo contenitore sidecar fornisce la connessione p11ng (PKCS#11 Next Generation) a NetHSM, consentendo una perfetta integrazione senza modificare il contenitore principale di EJBCA.
Per informazioni dettagliate sulla configurazione dei moduli di sicurezza hardware (HSM) con EJBCA EE, consultare la documentazione ufficiale di EJBCA HSM.
Docker Setup¶
Forniamo una configurazione containerizzata completa per l’integrazione di EJBCA EE con NetHSM. La configurazione comprende:
EJBCA EE container
Contenitore sidecar PKCS#11 di NetHSM (p11ng)
Contenitore NetHSM per il test
L’immagine e la configurazione del contenitore si trovano nella cartella container/ejbca-ee/ del repository nethsm-pkcs11.
La directory include un file docker-compose.yml completo che porta tutti i componenti necessari, compresa un’istanza di NetHSM a scopo di test. Questo fornisce un ambiente pronto all’uso per sperimentare l’integrazione di EJBCA EE e NetHSM.
Nota
Dockerfile e docker-compose.yml contengono riferimenti ai repository ufficiali, assicurarsi di eseguire docker login prima di utilizzarli.
Attualmente una limitazione è che non c’è modo di selezionare il Padding Scheme per un particolare Crypto Token. Pertanto RSA utilizzerà sempre il padding PKCS#1 (e non PSS).