Nginx#
Je kunt nginx configureren om NetHSM te gebruiken via de OpenSSL engine die dan de PKCS#11 module van NetHSM gebruikt.
Het certificaatbestand moet op de schijf staan, maar de privésleutel kan worden gebruikt vanaf de NetHSM.
Een volledig voorbeeld is beschikbaar onder.
OpenSSL-configuratie#
Stel de OpenSSL engine in door de OpenSSL Engine setup guide te volgen.
Providers worden nog niet ondersteund door Nginx.
Notitie
Het gebruik van de libp11 OpenSSL engine versie 0.4.12 of ouder en een NetHSM met veel sleutels zal het initiële laden van Nginx traag maken (meer dan een minuut voor duizend sleutels). Het wordt aanbevolen om versie 0.4.13 of nieuwer te gebruiken of om de engine te bouwen vanaf source.
Nginx configuratie#
ssl_engine pkcs11;
server {
listen 443 ssl;
server_name localhost;
ssl_certificate /certs/certificate.pem;
ssl_certificate_key "engine:pkcs11:pkcs11:object=webserver;type=private";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10s;
ssl_session_tickets off;
ssl_protocols TLSv1.3;
ssl_prefer_server_ciphers off;
# HSTS (ngx_http_headers_module is required) (63072000 seconds)
add_header Strict-Transport-Security "max-age=63072000" always;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
De ssl_certificate moet verwijzen naar een certificaatbestand op de schijf.
De ssl_certificate_key kan een OpenSSL configuratie zijn. Hier gebruiken we de OpenSSL engine met de PKCS#11 module en selecteren we de privésleutel met het label/ID webserver en het sleuteltype private.
ssl_certificate_key “engine:pkcs11:pkcs11:object=webserver;type=private”;
Notitie
Je moet het certificaat apart genereren en dan uploaden naar de NetHSM. Als het certificaat op schijf en de sleutel in de NetHSM niet overeenkomen zal nginx niet starten.
libnethsm_pkcs11 Configuratie#
slots:
- label: LocalHSM
description: Local HSM (docker)
url: "https://192.168.3.161:8443/api/v1"
operator:
username: "operator"
password: "opPassphrase"
Om het wachtwoord te beveiligen kun je het opgeven via een omgevingsvariabele (zie Setup) of het opgeven in de nginx configuratie:
ssl_certificate_key "engine:pkcs11:pkcs11:object=webserver;type=private;pin=opPassphrase";
Voorbeeld#
Als je wilt experimenteren met het gegeven voorbeeld gebruik dan git om de nethsm-pkcs11 repository te clonen en voer de volgende commando’s uit:
Waarschuwing
Het genereren van het script verwijdert de webserver sleutel en vervangt deze.
Configureer een NetHSM, een echte of een container. Zie de getting-started guide voor meer informatie. Naast een beheerder is er ook een operatoraccount nodig.
Download en installeer de nieuwste versie van het stuurprogramma nethsm-pkcs11 dat beschikbaar is vanaf hier.
Installeer de OpenSSL PKCS11 engine zoals beschreven in de OpenSSL Handleiding. U hoeft geen configuratiebestand te maken.
Pas de variabelen
HOST,ADMIN_ACCOUNTenADMIN_ACCOUNT_PWDincontainer/nginx/generate.shzodanig aan datHOSTde URL en poort van je NetHSM bevat,ADMIN_ACCOUNTde gebruikersnaam van een administratoraccount bevat enADMIN_ACCOUNT_PWDhet bijbehorende wachtwoord. Configureer verder het absolute pad van de OpenSSL PKCS11 engine inOPENSSL_PKCS11_ENGINE_PATHen het absolute pad van de NetHSM PKCS11 library inNETHSM_PKCS11_LIBRARY_PATH.Maak een NetHSM PKCS11-configuratiebestand aan op een van de bekende locaties, bijvoorbeeld
/etc/nitrokey/p11nethsm.conf. Er moet een operatoraccount zijn geconfigureerd en dezelfde NetHSM-instantie worden gebruikt die eerder in het generatorscript is opgegeven.Werk de PKCS11-configuratie bij in
container/nginx/p11nethsm.confmet de URL van je NetHSMs en geldige operatorgegevens.Genereer het certificaat en de sleutel.
./container/nginx/generate.sh
Bouw de container.
docker build -f container/nginx/Dockerfile . -t pkcs-nginx
Voer de container uit.
docker run -p 9443:443 -p 9080:80 pkcs-nginx
De NGINX testpagina zal beschikbaar zijn op https://localhost:9443/. Merk op dat je browser je hopelijk zal waarschuwen dat het certificaat van de website zelfondertekend is.