Nginx

Jūs varat konfigurēt nginx, lai izmantotu NetHSM, izmantojot OpenSSL dzinēju, kas pēc tam izmanto NetHSM PKCS#11 moduli.

Sertifikāta failam jābūt diskā, bet privāto atslēgu var izmantot no NetHSM.

Pilns piemērs ir pieejams zemāk.

OpenSSL konfigurācija

Iestatiet OpenSSL dzinēju, sekojot OpenSSL dzinēja iestatīšanas rokasgrāmatai.

Nginx vēl neatbalsta pakalpojumu sniedzējus.

Piezīme

Izmantojot libp11 OpenSSL dzinēja versiju 0.4.12 vai vecāku un NetHSM ar daudz atslēgu, Nginx sākotnējā ielāde būs lēna (vairāk nekā minūti 1 tūkst. atslēgu). Ieteicams izmantot 0.4.13 vai jaunāku versiju vai arī izveidot dzinēju no avota.

Nginx konfigurācija

ssl_engine pkcs11;

server {
    listen       443 ssl;
    server_name  localhost;

    ssl_certificate      /certs/certificate.pem;

    ssl_certificate_key "engine:pkcs11:pkcs11:object=webserver;type=private";

    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  10s;
    ssl_session_tickets off;

    ssl_protocols TLSv1.3;
    ssl_prefer_server_ciphers  off;

    # HSTS (ngx_http_headers_module is required) (63072000 seconds)
    add_header Strict-Transport-Security "max-age=63072000" always;

    # OCSP stapling
    ssl_stapling on;
    ssl_stapling_verify on;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

ssl_certificate jānorāda uz sertifikāta failu diskā.

ssl_certificate_key var būt OpenSSL konfigurācija. Šeit mēs izmantojam OpenSSL dzinēju ar PKCS#11 moduli un izvēlamies privāto atslēgu ar marķējumu/ID webserver un atslēgas tipu private.

ssl_certificate_key "engine:pkcs11:pkcs11:object=webserver;type=private";

Piezīme

Sertifikāts ir jāģenerē atsevišķi un pēc tam jāielādē NetHSM. Ja sertifikāts diskā un atslēga NetHSM nesakrīt, nginx nesāksies.

libnethsm_pkcs11 konfigurācija

slots:
  - label: LocalHSM
    description: Local HSM (docker)
    url: "https://192.168.3.161:8443/api/v1"
    operator:
      username: "operator"
      password: "opPassphrase"

Lai nodrošinātu paroles drošību, varat to norādīt, izmantojot vides mainīgo), vai norādīt to nginx konfigurācijā:

ssl_certificate_key "engine:pkcs11:pkcs11:object=webserver;type=private;pin=opPassphrase";

Piemērs

Ja vēlaties eksperimentēt ar doto piemēru, izmantojiet git, lai klonētu nethsm-pkcs11 repozitoriju un izpildiet šādas komandas:

Brīdinājums

Palaižot ģenerēšanas skriptu, tiek dzēsta webserver atslēga un tā tiek aizstāta.

  1. Konfigurējiet NetHSM - reālu vai konteineru. Lai iegūtu vairāk informācijas, skatiet sākumposma rokasgrāmatu. Bez administratora jums būs nepieciešams arī operatora konts.

  2. Lejupielādējiet un instalējiet jaunāko versiju nethsm-pkcs11 draiveris draiveris ir pieejams šeit.

  3. Instalējiet OpenSSL PKCS11 dzinēju, kā aprakstīts OpenSSL rokasgrāmatā. Jums nav nepieciešams izveidot konfigurācijas failu.

  4. Pielāgojiet mainīgos HOST, ADMIN_ACCOUNT un ADMIN_ACCOUNT_PWD container/nginx/generate.sh tā, lai HOST saturētu jūsu NetHSMs URL un portu, ADMIN_ACCOUNT saturētu administratora konta lietotājvārdu un ADMIN_ACCOUNT_PWD atbilstošo paroli. Tālāk konfigurējiet OpenSSL PKCS11 dzinēja absolūto ceļu OPENSSL_PKCS11_ENGINE_PATH un NetHSM PKCS11 bibliotēkas absolūto ceļu NETHSM_PKCS11_LIBRARY_PATH.

  5. Izveidojiet NetHSM PKCS11 konfigurācijas failu vienā no zināmajām vietām, piemēram, /etc/nitrokey/p11nethsm.conf. Tajā jābūt konfigurētam operatora kontam un jāizmanto tas pats NetHSM gadījums, kas iepriekš norādīts ģenerēšanas skripta ģenerēšanā.

  6. Atjauniniet PKCS11 konfigurāciju vietnē container/nginx/p11nethsm.conf ar savu NetHSMs URL un derīgiem operatora akreditācijas datiem.

  7. Sertifikāta un atslēgas ģenerēšana.

./container/nginx/generate.sh
  1. Izveidojiet konteineru.

docker build -f container/nginx/Dockerfile . -t pkcs-nginx
  1. Palaist konteineru.

docker run -p 9443:443 -p 9080:80 pkcs-nginx

NGINX testa lapa būs pieejama vietnē https://localhost:9443/. Ņemiet vērā, ka jūsu pārlūkprogramma, cerams, brīdinās jūs, ka vietnes sertifikāts ir pašparakstīts.