PKCS#11 iestatīšana#

Uzstādīšana#

NetHSM PKCS#11 moduli var iegūt kā iepriekš kompilētu bināro kopiju vai kompilēt to no pirmkoda.

Iepriekš kompilētas binārās datnes#

Lejupielādējiet moduļa failu, kas atbilst jūsu sistēmai, no repozitorija laidienu lapas.
Nokopējiet moduļa failu uz direktoriju, kurā jūsu PKCS#11 lietojumprogrammas to gaida.

Salikt no avota#

Instalējiet Rust rīku ķēde.
Lejupielādējiet un izrakstu avotu no laidienu lapas vai klonējiet repozitoriju.
Palaist cargo build --release avota direktorijā.

Konfigurācija#

Pēc noklusējuma modulis meklē konfigurācijas failus:

/etc/nitrokey/p11nethsm.conf
/usr/local/etc/nitrokey/p11nethsm.conf
$HOME/.config/nitrokey/p11nethsm.conf

Ja ir vairāki faili, konfigurācijas tiks apvienotas tā, lai modulis izmantotu visu konfigurācijas failu slotus.

Jūs varat manuāli iestatīt konfigurācijas faila atrašanās vietu (tiks nolasīts tikai šis fails), izmantojot env mainīgo P11NETHSM_CONFIG_FILE (piemēram, P11NETHSM_CONFIG_FILE=./p11nethsm.conf).

Konfigurācijas faila formāts#

Konfigurācija ir yaml formātā:

# Set this option to true to enable the compatibility option for the C_SetAttributeValue() function.
# This allows the applications using the Java Sun PKCS11 module (like EJBCA) to generate keys.
# When using this, the names given to the keys will be ignored and the keys will have random names.
# Under the hood it will store in memory the name given to the key when calling C_SetAttributeValue(). When a certificate is uploaded it will check if the name was previously passed to C_SetAttributeValue() and translate it to the real name on the NetHSM.
enable_set_attribute_value: false

# You can set the log file location here.
# If no value is set the module will output to stderr.
# If a value is set it will output to the file.
log_file: /tmp/p11nethsm.log
# Optional log level
log_level: Debug

# Each "slot" represents a NetHSM server
slots:
  - label: LocalHSM                        # Name you NetHSM however you want
    description: Local HSM (docker)        # Optional description

    # Users connecting to the NetHSM server
    operator:
      username: "operator"
      password: "env:LOCALHSMPASS"
    administrator:
      username: "admin"

    # List the NetHSM instances
    instances:
      - url: "https://keyfender:8443/api/v1"   # URL to reach the server
        # When the NetHSM has a self-signed certificate, it can be verified by a sha256 fingerprint of the NetHSM's certificate:
        sha256_fingerprints:
          - "31:92:8E:A4:5E:16:5C:A7:33:44:E8:E9:8E:64:C4:AE:7B:2A:57:E5:77:43:49:F3:69:C9:8F:C4:2F:3A:3B:6E"

Instances#

Ja vienā slotā ir uzskaitīti vairāki NetHSM gadījumi, šie gadījumi jākonfigurē klasterī. Lietotāju akreditācijas datiem un atslēgām jābūt vienādām visos gadījumos.

Modulis izmantos gadījumus pēc kārtas, izmēģinot citu gadījumu, ja viens gadījums neizdosies.

Lietotāji#

Gan operatora, gan administratora lietotāji nav obligāti, taču modulis nesākas, ja nav konfigurēts neviens lietotājs. Tas ir tāpēc, lai jūs varētu konfigurēt moduli tikai ar administratora lietotāju, tikai ar operatora lietotāju vai abiem vienlaicīgi.

Ja ir iestatīti divi lietotāji, modulis pēc noklusējuma izmantos operatoru un administratora lietotāju izmantos tikai tad, kad tas būs nepieciešams darbībai.

Parastais PKCS11 lietotājs ir kartēts ar NetHSM operatoru, bet PKCS11 SO ir kartēts ar NetHSM administratoru.

Paroles#

Paroli var ievadīt dažādos veidos:

Vienkāršā tekstā konfigurācijā password: "mypassword"
Vides mainīgajā, ko nolasa modulis ar prefiksu env:: env:ENV_STORING_THE_PASSWORD.
Izmantojot pkcs11 pieteikšanās funkciju, piemēram, pcks11-tool: pkcs11-tool –module libnethsm_pkcs11.so -p opPassphrase Lai norādītu administratora paroli, tās vietā jāizmanto --so-pin: pkcs11-tool --module libnethsm_pkcs11.so --login --login-type so --so-pin Administrator

Ja lietotāja parole nav iestatīta konfigurācijas failā, paroles ievadīšanai būs nepieciešams pieteikties (3. metode).

NetHSM, kas nedarbojas, tiek uzskatīts par slotu, kurā nav žetona.