EJBCA¶
Notă
EJBCA necesită cel puțin NetHSM v3 și nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
EJBCA Community Edition este un software open source PKI Certificate Authority.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Apoi, configurați EJBCA pentru a utiliza modulul NetHSM PKCS#11 adăugând o intrare în fișierul /etc/ejbca/conf/web.properties:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Notă
418 din nume este un index care trebuie să fie unic pentru fiecare modul PKCS#11 din fișierul de configurare.
După repornirea EJBCA, puteți adăuga un nou jeton criptografic în EJBCA Admin GUI https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Tipul Crypto Token este PKCS#11 Crypto Token, iar numele Crypto Token este NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
EJBCA Enterprise Edition oferă caracteristici avansate și suport pentru întreprinderi.
Configurarea pentru EJBCA EE diferă de cea a ediției comunitare. În loc să configureze modulul PKCS#11 direct în EJBCA, Enterprise Edition utilizează o abordare de tip sidecar container. Acest container Sidecar furnizează conexiunea p11ng (PKCS#11 Next Generation) la NetHSM, permițând o integrare perfectă fără modificarea containerului EJBCA principal.
Pentru informații detaliate privind configurarea modulelor de securitate hardware (HSM) cu EJBCA EE, consultați documentația oficială EJBCA HSM.
Docker Setup¶
Oferim o configurație containerizată completă pentru integrarea EJBCA EE cu NetHSM. Configurația include:
EJBCA EE container
NetHSM PKCS#11 container sidecar (p11ng)
Container NetHSM pentru testare
Puteți găsi imaginea și configurația containerului în container/ejbca-ee/ directorul al depozitului nethsm-pkcs11.
Directorul include un fișier complet docker-compose.yml care aduce toate componentele necesare, inclusiv o instanță NetHSM pentru testare. Acesta oferă un mediu gata de utilizare pentru experimentarea integrării EJBCA EE și NetHSM.
Notă
Dockerfile și docker-compose.yml conțin referințe la depozitele oficiale, asigurați-vă că rulați docker login înainte de a le utiliza.
În prezent, o limitare este că nu există nicio modalitate de a selecta schema de umplere ** pentru un anumit Crypto Token. Prin urmare, RSA va utiliza întotdeauna umplutura PKCS#1 (și nu PSS).