EJBCA

注釈

EJBCAには少なくともNetHSM v3とnethsm-pkcs11 v2が必要です。

EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).

EJBCA Community

EJBCA Community Editionは、オープンソースのPKI認証局ソフトウェアです。

To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.

次に、/etc/ejbca/conf/web.properties ファイルにエントリーを追加して、NetHSM PKCS#11 モジュールを使用するように EJBCA を設定する:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true

注釈

名前の``418`` は、コンフィギュレーション・ファイル内の各PKCS#11モジュールで一意でなければならないインデックスである。

EJBCAを再起動した後、EJBCA Admin GUI``https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml``で新しいCrypto Tokenを追加できる。Crypto Token タイプは``PKCS#11 Crypto Token`` で、Crypto Token 名は``NetHSM`` である。

Docker Example

We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.

EJBCA Enterprise

EJBCAエンタープライズ版は、高度な機能とエンタープライズサポートを提供します。

EJBCA EE の構成は、Community Edition とは異なる。EJBCAでPKCS#11モジュールを直接構成する代わりに、Enterprise Editionでは**サイドカーコンテナ** のアプローチを使用します。このサイドカーコンテナは、NetHSMへのp11ng(PKCS#11 Next Generation)接続を提供し、メインのEJBCAコンテナを変更することなく、シームレスな統合を可能にします。

EJBCA EEを使用したハードウェアセキュリティモジュール(HSM)の設定に関する詳細情報については、公式の`EJBCA HSMドキュメント<https://docs.keyfactor.com/ejbca/latest/hardware-security-modules-hsm>`__を参照してください。

Docker Setup

NetHSM と EJBCA EE を統合するための完全なコンテナ化されたセットアップを提供します。セットアップには以下が含まれます:

  • EJBCA EE container

  • NetHSM PKCS#11 サイドカーコンテナ (p11ng)

  • テスト用NetHSMコンテナ

NetHSM-pkcs11 リポジトリの`container/ejbca-ee/ ディレクトリ<https://github.com/Nitrokey/nethsm-pkcs11/tree/main/container/ejbca-ee>`__ にコンテナ・イメージとコンフィギュレーションがある。

このディレクトリには、docker-compose.yml ファイルが含まれており、テスト用の NetHSM インスタンスを含む必要なコンポーネントがすべて表示されます。これは、EJBCA EEとNetHSMの統合を実験するためのすぐに使える環境を提供します。

注釈

Dockerfile` と ` ` には公式リポジトリへの参照が含まれているので、それらを利用する前に ` ` を必ず実行してください。docker-compose.yml docker login

現在のところ、特定の*Crypto Token* に対して*Padding Scheme* を選択する方法がないという制約がある。したがって、RSA は常に PKCS#1 パディングを使用する(PSS は使用しない)。