PKCS#11 sąranka#
Įrengimas#
NetHSM PKCS#11 modulį galite gauti kaip iš anksto parengtą dvejetainį paketą arba kompiliuoti jį iš pradinio kodo.
Iš anksto parengtos dvejetainės programos#
Atsisiųskite jūsų sistemą atitinkantį modulio failą iš leidinių puslapio saugyklos.
Nukopijuokite modulio failą į katalogą, kuriame jūsų PKCS#11 programos tikisi jį rasti.
Kompiliuoti iš šaltinio#
Įdiekite Rust įrankių grandinę.
Atsisiųskite ir išskleiskite šaltinį iš leidinių puslapio arba klonuokite saugyklą.
Paleiskite
cargo build --release
šaltinio kataloge.
Konfigūracija#
Pagal numatytuosius nustatymus modulis ieško konfigūracijos failų:
/etc/nitrokey/p11nethsm.conf
/usr/local/etc/nitrokey/p11nethsm.conf
$HOME/.config/nitrokey/p11nethsm.conf
Jei yra keli failai, konfigūracijos bus sujungtos taip, kad modulis naudotų visų konfigūracijos failų lizdus.
Konfigūracijos failo vietą (bus skaitomas tik šis failas) galite nustatyti rankiniu būdu, naudodami env kintamąjį P11NETHSM_CONFIG_FILE
(pvz., P11NETHSM_CONFIG_FILE=./p11nethsm.conf
).
Konfigūracijos failo formatas#
Konfigūracija yra yaml formato:
# Set this option to true to enable the compatibility option for the C_SetAttributeValue() function.
# This allows the applications using the Java Sun PKCS11 module (like EJBCA) to generate keys.
# When using this, the names given to the keys will be ignored and the keys will have random names.
# Under the hood it will store in memory the name given to the key when calling C_SetAttributeValue(). When a certificate is uploaded it will check if the name was previously passed to C_SetAttributeValue() and translate it to the real name on the NetHSM.
enable_set_attribute_value: false
# You can set the log file location here.
# If no value is set the module will output to stderr.
# If a value is set it will output to the file.
log_file: /tmp/p11nethsm.log
# Optional log level
log_level: Debug
# Each "slot" represents a NetHSM server
slots:
- label: LocalHSM # Name you NetHSM however you want
description: Local HSM (docker) # Optional description
# Users connecting to the NetHSM server
operator:
username: "operator"
password: "env:LOCALHSMPASS"
administrator:
username: "admin"
# List the NetHSM instances
instances:
- url: "https://keyfender:8443/api/v1" # URL to reach the server
# When the NetHSM has a self-signed certificate, it can be verified by a sha256 fingerprint of the NetHSM's certificate:
sha256_fingerprints:
- "31:92:8E:A4:5E:16:5C:A7:33:44:E8:E9:8E:64:C4:AE:7B:2A:57:E5:77:43:49:F3:69:C9:8F:C4:2F:3A:3B:6E"
Atvejai#
Jei tame pačiame lizde yra keli NetHSM egzemplioriai, šie egzemplioriai turi būti sukonfigūruoti kaip klasteris. Naudotojų įgaliojimai ir raktai turi būti vienodi visuose egzemplioriuose.
Modulis naudoja egzempliorius rato principu, o nepavykus vienam egzemplioriui, bando naudoti kitą egzempliorių.
Vartotojai#
Operatoriaus ir administratoriaus naudotojai yra neprivalomi, tačiau modulis neįsijungs, jei nėra sukonfigūruoto naudotojo. Taip yra todėl, kad modulį galima konfigūruoti tik su administratoriaus naudotoju, tik su operatoriaus naudotoju arba su abiem vienu metu.
Nustačius du naudotojus, modulis pagal nutylėjimą naudos operatoriaus naudotoją, o administratoriaus naudotoją naudos tik tada, kai to reikės veiksmui atlikti.
Įprastas PKCS11 naudotojas priskiriamas NetHSM operatoriui, o PKCS11 SO - NetHSM administratoriui.
Slaptažodžiai#
Slaptažodį galima nurodyti keliais būdais:
Paprastu tekstu konfigūracijoje
password: "mypassword"
Aplinkos kintamajame, kurį nuskaito modulis su priešdėliu
env:
:env:ENV_STORING_THE_PASSWORD
Per pkcs11 prisijungimo funkciją, pcks11-tool pavyzdys: pkcs11-tool –module libnethsm_pkcs11.so -p opPassphrase ` Norint nurodyti administratoriaus slaptažodį, vietoj jo reikia naudoti
--so-pin
:pkcs11-tool --module libnethsm_pkcs11.so --login --login-type so --so-pin Administrator
Jei naudotojo slaptažodis nenustatytas konfigūracijos faile, slaptažodžiui nurodyti reikės prisijungti (3-iasis metodas).
Neveikiantis NetHSM laikomas lizdu, kuriame nėra žetono.