EJBCA

EJBCA is een PKI Certificaat Autoriteit software die beschikbaar is als open source.

Om NetHSM te kunnen gebruiken met EJBCA moet je eerst setup de NetHSM PKCS#11 module.

Configureer vervolgens EJBCA om de NetHSM PKCS#11 module te gebruiken door een entry toe te voegen in het /etc/ejbca/conf/web.properties bestand:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so

Notitie

De 418 in de naam is een index die uniek moet zijn voor elke PKCS#11 module in het configuratiebestand.

Om sleutels van de interface te kunnen genereren, moet je de optie enable_set_attribute_value op true zetten in het bestand p11nethsm.conf.

Waarschuwing

Vanwege enkele integratieproblemen met de Sun PKCS11 provider, zullen sleutels gegenereerd vanuit EJBCA een willekeurige naam hebben in plaats van de naam die is opgegeven in de interface.

Na het herstarten van EJBCA kunt u een nieuw Crypto Token toevoegen in de EJBCA Admin GUI https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Het Crypto Token type is PKCS#11 Crypto Token en de Crypto Token naam is NetHSM.

Het voorbeeld uitvoeren

Als je wilt experimenteren met het gegeven voorbeeld kun je git gebruiken om de nethsm-pkcs11 repository te clonen en de volgende commando’s uit te voeren:

• Configureer een NetHSM, een echte of een container. Zie de getting-started guide voor meer informatie.

• Wijzig de configuratie van libnethsm_pkcs11 zodat deze overeenkomt met je NetHSM in container/ejbca/p11nethsm.conf.

• Bouw de container.

  docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
  

• Voer de container uit.

  docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
  

De container is beschikbaar op https://localhost:9443/.