EJBCA

EJBCA este un software de autoritate de certificare PKI disponibil ca sursă deschisă.

Pentru a putea utiliza NetHSM cu EJBCA, trebuie să configurați ` <pkcs11-setup.html>`__ modulul NetHSM PKCS#11 mai întâi.

Apoi, configurați EJBCA pentru a utiliza modulul NetHSM PKCS#11 adăugând o intrare în fișierul /etc/ejbca/conf/web.properties:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so

Notă

418 din nume este un index care trebuie să fie unic pentru fiecare modul PKCS#11 din fișierul de configurare.

Pentru a putea genera chei din interfață, trebuie să setați opțiunea enable_set_attribute_value la true în fișierul p11nethsm.conf.

Atenționare

Din cauza unor probleme de integrare cu furnizorul Sun PKCS11, cheile generate de EJBCA vor avea un nume aleatoriu în loc de numele dat în interfață.

După repornirea EJBCA, puteți adăuga un nou jeton criptografic în EJBCA Admin GUI https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Tipul Crypto Token este PKCS#11 Crypto Token, iar numele Crypto Token este NetHSM.

Executarea exemplului

Dacă doriți să experimentați cu exemplul dat, puteți folosi git pentru a clona depozitul nethsm-pkcs11 și să rulați următoarele comenzi:

  • Configurați un NetHSM, fie unul real, fie un container. Pentru mai multe informații, consultați ghidul get-started.

  • Schimbați configurația libnethsm_pkcs11 pentru a se potrivi cu NetHSM-ul dvs. în container/ejbca/p11nethsm.conf.

  • Construiți containerul.

    docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
    
  • Rulați containerul.

    docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
    

Containerul va fi disponibil la https://localhost:9443/ https://localhost:9443/.