EJBCA¶
Notitie
EJBCA vereist minimaal NetHSM v3 en nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
EJBCA Community Edition is een open source PKI Certificate Authority-software.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Configureer vervolgens EJBCA om de NetHSM PKCS#11 module te gebruiken door een entry toe te voegen in het /etc/ejbca/conf/web.properties bestand:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Notitie
De 418 in de naam is een index die uniek moet zijn voor elke PKCS#11 module in het configuratiebestand.
Na het herstarten van EJBCA kunt u een nieuw Crypto Token toevoegen in de EJBCA Admin GUI https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Het Crypto Token type is PKCS#11 Crypto Token en de Crypto Token naam is NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
EJBCA Enterprise Edition biedt geavanceerde functies en bedrijfsondersteuning.
De configuratie voor EJBCA EE verschilt van de Community Editie. In plaats van de PKCS#11-module rechtstreeks in EJBCA te configureren, gebruikt de Enterprise Editie een sidecar container benadering. Deze zijspancontainer levert de p11ng (PKCS#11 Next Generation) verbinding met NetHSM, waardoor een naadloze integratie mogelijk is zonder de hoofdcontainer van EJBCA aan te passen.
Raadpleeg de officiële EJBCA HSM documentatie voor gedetailleerde informatie over het configureren van Hardware Security Modules (HSM) met EJBCA EE.
Docker Setup¶
We bieden een complete gecontaineriseerde setup voor EJBCA EE integratie met NetHSM. De setup omvat:
EJBCA EE container
NetHSM PKCS#11 zijspancontainer (p11ng)
NetHSM container voor testen
Je kunt het container image en de configuratie vinden in de container/ejbca-ee/ directory van de nethsm-pkcs11 repository.
De map bevat een compleet docker-compose.yml bestand dat alle benodigde componenten naar boven brengt, inclusief een NetHSM instantie voor testdoeleinden. Dit biedt een kant-en-klare omgeving om te experimenteren met EJBCA EE en NetHSM integratie.
Notitie
Dockerfile en docker-compose.yml bevatten verwijzingen naar de officiële repositories, zorg ervoor dat je docker login uitvoert voordat je ze gebruikt.
Momenteel is een beperking dat er geen manier is om het Padding Scheme te selecteren voor een bepaald Crypto Token. Daarom zal RSA altijd PKCS#1 padding gebruiken (en niet PSS).