EJBCA¶
Pastaba
EJBCA reikia bent NetHSM v3 ir nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
EJBCA Community Edition yra atvirojo kodo PKI sertifikatų tarnybos programinė įranga.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Tada sukonfigūruokite EJBCA naudoti NetHSM PKCS#11 modulį, pridėdami įrašą į /etc/ejbca/conf/web.properties failą:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Pastaba
Pavadinime esantis 418 yra indeksas, kuris turi būti unikalus kiekvienam PKCS#11 moduliui konfigūracijos faile.
Iš naujo paleidę EJBCA galite pridėti naują šifravimo žetoną EJBCA administratoriaus vartotojo sąsajoje https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Kriptožetono tipas yra PKCS#11 Crypto Token, o kriptožetono pavadinimas - NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
„EJBCA Enterprise Edition“ teikia pažangias funkcijas ir įmonės palaikymą.
EJBCA EE konfigūracija skiriasi nuo Community Edition. Vietoj to, kad PKCS#11 modulis būtų konfigūruojamas tiesiogiai EJBCA, Enterprise Edition versijoje naudojamas sidecar konteinerio metodas. Šiame šalutiniame konteineryje pateikiamas p11ng (PKCS#11 Next Generation) ryšys su NetHSM, todėl galima sklandžiai integruoti nekeičiant pagrindinio EJBCA konteinerio.
Išsamios informacijos apie aparatinių saugumo modulių (HSM) konfigūravimą su EJBCA EE rasite oficialioje EJBCA HSM dokumentacijoje.
Docker Setup¶
Siūlome pilną EJBCA EE integracijos su NetHSM konteinerinę sąranką. Į sąranką įeina:
EJBCA EE container
NetHSM PKCS#11 šalutinio konteinerio (p11ng)
NetHSM konteineris bandymams
Konteinerio atvaizdą ir konfigūraciją galite rasti container/ejbca-ee/ kataloge NetHSM-pkcs11 saugykloje.
Kataloge yra visas docker-compose.yml failas, kuriame pateikiami visi reikalingi komponentai, įskaitant bandymams skirtą NetHSM egzempliorių. Taip sukuriama paruošta naudoti aplinka, kurioje galima eksperimentuoti su EJBCA EE ir NetHSM integracija.
Pastaba
Dockerfile ir docker-compose.yml pateikiamos nuorodos į oficialias saugyklas, prieš naudodamiesi jomis, būtinai paleiskite docker login.
Šiuo metu apribojimas yra tas, kad nėra galimybės pasirinkti užpildymo schemą konkrečiam kriptografijos žetonui. Todėl RSA visada naudos PKCS#1 užpildą (o ne PSS).