EJBCA¶
Piezīme
EJBCA nepieciešama vismaz NetHSM v3 un nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
EJBCA Community Edition ir atvērtā koda PKI sertifikātu iestādes programmatūra.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Pēc tam konfigurējiet EJBCA, lai izmantotu NetHSM PKCS#11 moduli, pievienojot ierakstu /etc/ejbca/conf/web.properties failā:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Piezīme
418 nosaukumā ir indekss, kam jābūt unikālam katram PKCS#11 modulim konfigurācijas failā.
Pēc EJBCA restartēšanas varat pievienot jaunu kriptožetonu EJBCA administratora GUI https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Kriptožetona tips ir PKCS#11 Crypto Token un kriptožetona nosaukums ir NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
EJBCA Enterprise Edition nodrošina uzlabotas funkcijas un atbalstu uzņēmumiem.
EJBCA EE konfigurācija atšķiras no Community Edition. Tā vietā, lai PKCS#11 moduli konfigurētu tieši EJBCA, Enterprise Edition izmanto blakuskonteinera pieeju. Šis blakuskonteiners nodrošina p11ng (PKCS#11 Next Generation) savienojumu ar NetHSM, kas ļauj nodrošināt netraucētu integrāciju, nemainot galveno EJBCA konteineru.
Sīkāku informāciju par aparatūras drošības moduļu (HSM) konfigurēšanu ar EJBCA EE skatiet oficiālajā EJBCA HSM dokumentācijā.
Docker Setup¶
Mēs piedāvājam pilnīgu konteineru konfigurāciju EJBCA EE integrācijai ar NetHSM. Šajā konfigurācijā ietilpst:
EJBCA EE container
NetHSM PKCS#11 blakuskonteiners (p11ng)
NetHSM konteiners testēšanai
Konteinera attēlu un konfigurāciju var atrast container/ejbca-ee/ direktorijā NetHSM-pkcs11 repozitorijā.
Katalogā ir iekļauts pilns docker-compose.yml fails, kas izveido visus nepieciešamos komponentus, tostarp NetHSM gadījumu testēšanas vajadzībām. Tas nodrošina lietošanai gatavu vidi, lai eksperimentētu ar EJBCA EE un NetHSM integrāciju.
Piezīme
Dockerfile un docker-compose.yml satur atsauces uz oficiālajiem repozitorijiem, tāpēc pirms to izmantošanas noteikti palaidiet docker login.
Pašlaik ierobežojums ir tāds, ka nav iespējams izvēlēties Padding shēmu konkrētam Crypto Token. Tāpēc RSA vienmēr izmantos PKCS#1 polsterējumu (nevis PSS).