EJBCA¶
Informacja
EJBCA wymaga co najmniej NetHSM v3 i nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
EJBCA Community Edition to oprogramowanie typu open source PKI Certificate Authority.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Następnie skonfiguruj EJBCA do korzystania z modułu NetHSM PKCS#11, dodając wpis w pliku /etc/ejbca/conf/web.properties:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Informacja
418 w nazwie jest indeksem, który musi być unikalny dla każdego modułu PKCS#11 w pliku konfiguracyjnym.
Po ponownym uruchomieniu EJBCA można dodać nowy token kryptograficzny w interfejsie GUI administratora EJBCA https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Typ tokena kryptograficznego to PKCS#11 Crypto Token, a nazwa tokena kryptograficznego to NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
EJBCA Enterprise Edition zapewnia zaawansowane funkcje i wsparcie dla przedsiębiorstw.
Konfiguracja EJBCA EE różni się od Community Edition. Zamiast konfigurować moduł PKCS#11 bezpośrednio w EJBCA, Enterprise Edition wykorzystuje podejście sidecar container. Ten kontener sidecar zapewnia połączenie p11ng (PKCS#11 Next Generation) z NetHSM, umożliwiając płynną integrację bez modyfikowania głównego kontenera EJBCA.
Szczegółowe informacje na temat konfiguracji sprzętowych modułów bezpieczeństwa (HSM) z EJBCA EE można znaleźć w oficjalnej dokumentacji EJBCA HSM.
Docker Setup¶
Zapewniamy kompletną konfigurację kontenerową do integracji EJBCA EE z NetHSM. Konfiguracja obejmuje:
EJBCA EE container
Kontener boczny NetHSM PKCS#11 (p11ng)
Kontener NetHSM do testów
Obraz kontenera i konfigurację można znaleźć w katalogu container/ejbca-ee/ repozytorium NetHSM-pkcs11.
Katalog zawiera kompletny plik docker-compose.yml, który uruchamia wszystkie niezbędne komponenty, w tym instancję NetHSM do celów testowych. Zapewnia to gotowe do użycia środowisko do eksperymentowania z integracją EJBCA EE i NetHSM.
Informacja
Dockerfile i docker-compose.yml zawierają odniesienia do oficjalnych repozytoriów, upewnij się, że uruchomiłeś docker login przed ich użyciem.
Obecnie ograniczeniem jest to, że nie ma możliwości wyboru Padding Scheme dla konkretnego Crypto Token. Dlatego RSA zawsze będzie używać wypełnienia PKCS#1 (a nie PSS).