PKCS#11 iestatīšana

Uzstādīšana

NetHSM PKCS#11 moduli var iegūt kā iepriekš kompilētu bināro kopiju vai kompilēt to no pirmkoda.

Iepriekš kompilētas binārās datnes

  1. Lejupielādējiet moduļa failu, kas atbilst jūsu sistēmai, no repozitorija laidienu lapas.

  2. Nokopējiet moduļa failu uz direktoriju, kurā jūsu PKCS#11 lietojumprogrammas to gaida.

Salikt no avota

  1. Instalējiet Rust rīku ķēde.

  2. Lejupielādējiet un izrakstu avotu no laidienu lapas vai klonējiet repozitoriju.

  3. Palaist cargo build --release avota direktorijā.

Konfigurācija

Pēc noklusējuma modulis meklē konfigurācijas failus:

  • /etc/nitrokey/p11nethsm.conf

  • /usr/local/etc/nitrokey/p11nethsm.conf

  • $HOME/.config/nitrokey/p11nethsm.conf

Ja ir vairāki faili, konfigurācijas tiks apvienotas tā, lai modulis izmantotu visu konfigurācijas failu slotus.

Jūs varat manuāli iestatīt konfigurācijas faila atrašanās vietu (tiks nolasīts tikai šis fails), izmantojot env mainīgo P11NETHSM_CONFIG_FILE (piemēram, P11NETHSM_CONFIG_FILE=./p11nethsm.conf).

Konfigurācijas faila formāts

Konfigurācija ir yaml formātā:

# Set this option to true to enable the compatibility option for the C_SetAttributeValue() function.
# This allows the applications using the Java Sun PKCS11 module (like EJBCA) to generate keys.
# When using this, the names given to the keys will be ignored and the keys will have random names.
# Under the hood it will store in memory the name given to the key when calling C_SetAttributeValue(). When a certificate is uploaded it will check if the name was previously passed to C_SetAttributeValue() and translate it to the real name on the NetHSM.
enable_set_attribute_value: false

# Optional log level, acceptable  values are Trace, Debug, Info, Warn and Error
log_level: Debug

# By default, the module logs to both syslog and stderr, trying the sockets /dev/log, /var/run/syslog and finally /var/run/log
# A custom socket can be configured:
syslog_socket: /var/nethsm/log
# Instead of a socket, a custom UDP or TCP syslog can be configured:
# syslog_udp:
#    to_addr: 127.0.0:1:514
#    from_addr: 127.0.0:1:4789
# syslog_tcp: 127.0.0.1:601
# Only one option among "syslog_socket", "syslog_udp", "syslog_tcp" can be configured at the same time

# You can configure the syslog facility ( "kern", "user", "mail", "daemon", "auth", "syslog", "lpr", "news", "uucp", "cron", "authpriv", "ftp", "local0", "local1", "local2", "local3", "local4", "local5", "local6" or "local7"):
syslog_facility: "user"
# You can set the hostname (for use only with syslog_udp or syslog_tcp)
# syslog_hostname: "localhsm-pkcs11"
# You can set the process name (defaults to the process name obtained from the OS)
# syslog_process: "NetHSM Pkcs11"
# You can set the pid used in logs (defaults to the process id obtained from the OS)
# syslog_pid: 0
# You can also configure a custom file, or "-" for stderr.
# log_file: /tmp/p11nethsm.log

# Each "slot" represents a HSM cluster of server that share the same user and keys.
slots:
  - label: LocalHSM                        # Name your NetHSM however you want
    description: Local HSM (docker)        # Optional description

    # Users connecting to the NetHSM server
    operator:
      username: "operator"
      # If the password starts with `env:`, it will obtain the password from an environment variable:
      # password: "env:LOCALHSMPASS"
      password: "localpass"
    administrator:
      username: "admin"

    # List the NetHSM instances
    instances:
      - url: "https://keyfender:8443/api/v1"   # URL to reach the server
        # To avoid having to re-open connections on each requests, the module keeps a connection pool to each instance. If the module is used by a multithreaded application, multiple connections can be opened at the same time.
        # This configures the maximum number of connections in the pool at the same time.
        # Note that this does not limit the total number of open connections.
        # Having a degree of parrallelism that is higher than the max number of idle connection can lead overhead as those connections will be closed an re-opened frenquently
        max_idle_connections: 10
        # By default, the certificate of the HSM will be validated using the system's root certificate authority.
        # When the NetHSM uses a self-signed certificate, it can be verified against an allowed list of sha256 fingerprint of the NetHSM's certificate:
        sha256_fingerprints:
          - "31:92:8E:A4:5E:16:5C:A7:33:44:E8:E9:8E:64:C4:AE:7B:2A:57:E5:77:43:49:F3:69:C9:8F:C4:2F:3A:3B:6E"
        # Alternatively certificate checks can be skipped entirely with danger_insecure_cert option.
        # This should be avoided if possible and certainly not used with a productive NetHSM.
        # danger_insecure_cert: true
    # Configure the network retry mechanism. If absent, no retries are attempted on a network error
    retries:
      # The number of retries after a network error
      count: 3
      # The delay between retries, in integer seconds
      delay_seconds: 1
    # it is possible to configure idle connections to make use of TCP keepalives, preventing the closing of connections by a firewall or detecting such cases
    tcp_keepalive:
      # the number of seconds before keepalives packets start being sent
      # Corresponds to `TCP_KEEPIDLE` on Linux, `TCP_KEEPALIVE` on macOS, and the field keepalivetime of tcp_keepalive on Windows
      time_seconds: 600
      # the number of seconds between each keepalive packet
      # Corresponds to `TCP_KEEPINTVL` on Linux and macOS, and the field keepaliveinterval of tcp_keepalive on Windows
      interval_seconds: 60
      # the number of keepalive packets being sent without a response before the connection
      # is considered closed
      # Corresponds to `TCP_KEEPCNT` on Linux and macOS, and is not used on Windows
      retries: 3
    # Time a connection can spend idle before being closed
    connections_max_idle_duration: 1800
    # Configurable timeout for network operations. If a network operation takes more than, `timeout_seconds`, consider it failed. If `retries` is configured, it will be retried.
    # Defaults to infinite
    timeout_seconds: 10

Instances

Ja vienā slotā ir uzskaitīti vairāki NetHSM gadījumi, šie gadījumi jākonfigurē klasterī. Lietotāju akreditācijas datiem un atslēgām jābūt vienādām visos gadījumos.

Modulis izmantos gadījumus pēc kārtas, izmēģinot citu gadījumu, ja viens gadījums neizdosies.

Tīkla uzticamība

Lai uzlabotu PKCS#11 moduļa uzticamību, ir iespējams konfigurēt laika ierobežojumus, atkārtojumus, instanču dublēšanu un TCP saglabāšanu.

Retries

Ja NetHSM instance nav sasniedzama, PKCS#11 modulis var atkārtoti mēģināt nosūtīt pieprasījumu citām instancēm vai tai pašai instancei (ja arī citas instances nav sasniedzamas). Ir iespējams ieviest kavēšanos starp atkārtotiem mēģinājumiem.

  • Neveiksmīgi gadījumi tiek atzīmēti kā nesasniedzami un tiek atkārtoti izmēģināti fona pavedienā, tāpēc tie netiks izmēģināti, ja vien visi gadījumi nav nesasniedzami.

  • Ja nav iespējams izveidot fona pavedienu (CKF_LIBRARY_CANT_CREATE_OS_THREADS), neveiksmīgie gadījumi tiks izmēģināti parasto darbību laikā, palēninot pieprasījumu izpildi. Lai to mazinātu, šādām „inline“ veselības pārbaudēm ir noteikts 1 sekundes laika ierobežojums, un vienā pieprasījumā var mēģināt veikt tikai 3 veselības pārbaudes (tas ir sliktākais gadījums, ko var sasniegt tikai tad, ja liels skaits instanču ir cietušas neveiksmi).

Tāpēc:

  • Vienam API izsaukumam nosūtīto pieprasījumu maksimālais skaits ir: retries.count + 1 + 3

  • Maksimālais (sliktākajā gadījumā) ilgums pirms laika ierobežojuma sasniegšanas vienam API izsaukumam ir: (retries.count + 1) * timeout_seconds + 3.

  • Viena PKCS#11 funkcijas izsaukuma maksimālais laika limits var atšķirties, jo dažas funkcijas izraisa vairākus API izsaukumus NetHSM.

TCP keepalive

Lai uzlabotu veiktspēju, savienojumi ar NetHSM instancēm tiek turēti atvērti, lai izvairītos no nepieciešamības tos atvērt atkārtoti. Iespējams, ka tīklā ar ugunsmūri šie neaktīvie savienojumi var tikt slēgti, izraisot nākamā savienojuma mēģinājuma pārtraukumu. Lai novērstu lēno laika nobīdi un lai to konstatētu agrāk, ja tā notiek, ir iespējams konfigurēt TCP uzturēšanas saglabāšanu.

Lietotāji

Gan operatora, gan administratora lietotāji nav obligāti, taču modulis nesākas, ja nav konfigurēts neviens lietotājs. Tas ir tāpēc, lai jūs varētu konfigurēt moduli tikai ar administratora lietotāju, tikai ar operatora lietotāju vai abiem vienlaicīgi.

Ja ir iestatīti divi lietotāji, modulis pēc noklusējuma izmantos operatoru un administratora lietotāju izmantos tikai tad, kad tas būs nepieciešams darbībai.

The regular PKCS#11 user is mapped to the NetHSM operator and the PKCS#11 SO is mapped to the NetHSM administrator.

Paroles

Paroli var ievadīt dažādos veidos:

  • Vienkāršā tekstā konfigurācijā password: "mypassword"

  • Vides mainīgajā, ko nolasa modulis ar prefiksu env:: env:ENV_STORING_THE_PASSWORD.

  • Izmantojot pkcs11 pieteikšanās funkciju, piemēram, pcks11-tool: pkcs11-tool –module libnethsm_pkcs11.so -p opPassphrase Lai norādītu administratora paroli, tās vietā jāizmanto --so-pin: pkcs11-tool --module libnethsm_pkcs11.so --login --login-type so --so-pin Administrator

Ja lietotāja parole nav iestatīta konfigurācijas failā, paroles ievadīšanai būs nepieciešams pieteikties (3. metode).

NetHSM, kas nedarbojas, tiek uzskatīts par slotu, kurā nav žetona.