EJBCA¶
EJBCA to oprogramowanie urzędu certyfikacji PKI dostępne jako oprogramowanie typu open source.
Aby móc korzystać z NetHSM z EJBCA, należy najpierw skonfigurować ` <pkcs11-setup.html>`__ moduł NetHSM PKCS#11.
Następnie skonfiguruj EJBCA do korzystania z modułu NetHSM PKCS#11, dodając wpis w pliku /etc/ejbca/conf/web.properties
:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
Informacja
418
w nazwie jest indeksem, który musi być unikalny dla każdego modułu PKCS#11 w pliku konfiguracyjnym.
Aby móc generować klucze z interfejsu, należy ustawić opcję enable_set_attribute_value
na true w pliku p11nethsm.conf
.
Ostrzeżenie
Ze względu na pewne problemy z integracją z dostawcą Sun PKCS11, klucze generowane z EJBCA będą miały losową nazwę zamiast nazwy podanej w interfejsie.
Po ponownym uruchomieniu EJBCA można dodać nowy token kryptograficzny w interfejsie GUI administratora EJBCA https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml
. Typ tokena kryptograficznego to PKCS#11 Crypto Token
, a nazwa tokena kryptograficznego to NetHSM
.
Wykonywanie przykładu¶
Jeśli chcesz poeksperymentować z podanym przykładem, możesz użyć git, aby sklonować repozytorium nethsm-pkcs11 i uruchomić następujące polecenia:
Skonfiguruj NetHSM, rzeczywisty lub w kontenerze. Więcej informacji można znaleźć w przewodniku dla początkujących ` <getting-started>`__.
Zmień konfigurację libnethsm_pkcs11, aby pasowała do twojego NetHSM w
container/ejbca/p11nethsm.conf
.Zbuduj pojemnik.
docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
Uruchom kontener.
docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
Pojemnik będzie dostępny na stronie https://localhost:9443/.