Konfiguracja PKCS#11#

Instalacja#

Moduł NetHSM PKCS#11 można pobrać jako wstępnie skompilowany plik binarny lub skompilować go ze źródła.

Wstępnie skompilowane pliki binarne#

  1. Pobierz plik modułu odpowiadający Twojemu systemowi ze strony releases repozytorium.

  2. Skopiuj plik modułu do katalogu, w którym aplikacje PKCS#11 spodziewają się go znaleźć.

Kompilacja ze źródła#

  1. Zainstaluj Rust toolchain.

  2. Pobierz i wyodrębnij źródło ze strony wydań ` <https://github.com/Nitrokey/nethsm-pkcs11/releases>` __ lub sklonuj repozytorium ` <https://github.com/Nitrokey/nethsm-pkcs11>` __.

  3. Uruchom cargo build --release w katalogu źródłowym.

Konfiguracja#

Domyślnie moduł wyszukuje pliki konfiguracyjne w:

  • /etc/nitrokey/p11nethsm.conf

  • /usr/local/etc/nitrokey/p11nethsm.conf

  • $HOME/.config/nitrokey/p11nethsm.conf

Jeśli istnieje wiele plików, konfiguracje zostaną połączone, tak aby sloty wszystkich plików konfiguracyjnych były używane przez moduł.

Możesz ręcznie ustawić lokalizację pliku konfiguracyjnego (tylko ten zostanie odczytany) za pomocą zmiennej env P11NETHSM_CONFIG_FILE (np. P11NETHSM_CONFIG_FILE=./p11nethsm.conf).

Format pliku konfiguracyjnego#

Konfiguracja ma format yaml:

# Set this option to true to enable the compatibility option for the C_SetAttributeValue() function.
# This allows the applications using the Java Sun PKCS11 module (like EJBCA) to generate keys.
# When using this, the names given to the keys will be ignored and the keys will have random names.
# Under the hood it will store in memory the name given to the key when calling C_SetAttributeValue(). When a certificate is uploaded it will check if the name was previously passed to C_SetAttributeValue() and translate it to the real name on the NetHSM.
enable_set_attribute_value: false

# You can set the log file location here.
# If no value is set the module will output to stderr.
# If a value is set it will output to the file.
log_file: /tmp/p11nethsm.log
# Optional log level
log_level: Debug

# Each "slot" represents a NetHSM server
slots:
  - label: LocalHSM                        # Name you NetHSM however you want
    description: Local HSM (docker)        # Optional description

    # Users connecting to the NetHSM server
    operator:
      username: "operator"
      password: "env:LOCALHSMPASS"
    administrator:
      username: "admin"

    # List the NetHSM instances
    instances:
      - url: "https://keyfender:8443/api/v1"   # URL to reach the server
        # When the NetHSM has a self-signed certificate, it can be verified by a sha256 fingerprint of the NetHSM's certificate:
        sha256_fingerprints:
          - "31:92:8E:A4:5E:16:5C:A7:33:44:E8:E9:8E:64:C4:AE:7B:2A:57:E5:77:43:49:F3:69:C9:8F:C4:2F:3A:3B:6E"

Wystąpienia#

Jeśli na liście znajduje się wiele instancji NetHSM w tym samym slocie, instancje te muszą być skonfigurowane w klastrze. Poświadczenia użytkowników i klucze muszą być takie same we wszystkich instancjach.

Moduł będzie korzystał z instancji w trybie round-robin, wypróbowując kolejną instancję, jeśli jedna zawiedzie.

Użytkownicy#

Użytkownicy operator i administrator są opcjonalni, ale moduł nie uruchomi się, jeśli nie zostanie skonfigurowany żaden użytkownik. Dzięki temu można skonfigurować moduł tylko z użytkownikiem administratora, tylko z użytkownikiem operatora lub z obydwoma użytkownikami jednocześnie.

Po ustawieniu dwóch użytkowników moduł będzie domyślnie korzystał z operatora i używał użytkownika administratora tylko wtedy, gdy akcja tego wymaga.

Zwykły użytkownik PKCS11 jest mapowany na operatora NetHSM, a PKCS11 SO jest mapowany na administratora NetHSM.

Hasła#

Hasło można podać na wiele sposobów:

  • W postaci zwykłego tekstu w konfiguracji password: "mypassword"

  • W zmiennej środowiskowej odczytywanej przez moduł z prefiksem env:: env:ENV_STORING_THE_PASSWORD

  • Poprzez funkcję logowania pkcs11, przykład dla pcks11-tool: pkcs11-tool --module libnethsm_pkcs11.so -p opPassphrase Aby podać hasło administratora należy użyć --so-pin zamiast: pkcs11-tool --module libnethsm_pkcs11.so --login --login-type so --so-pin Administrator

Jeśli hasło użytkownika nie jest ustawione w pliku konfiguracyjnym, wymagane będzie zalogowanie się w celu podania hasła (trzecia metoda).

NetHSM, który nie działa, jest uważany za slot z nieobecnym tokenem.