Nginx#
Puteți configura nginx pentru a utiliza NetHSM prin intermediul motorului OpenSSL, care utilizează apoi modulul PKCS#11 al NetHSM.
Fișierul de certificat trebuie să se afle pe disc, dar cheia privată poate fi utilizată din NetHSM.
Un exemplu complet este disponibil mai jos.
Configurația OpenSSL#
Configurați motorul OpenSSL urmând ghidul de configurare a motorului OpenSSL ` <openssl.html#engine>`__.
Furnizorii nu sunt încă suportați de Nginx.
Notă
Folosirea motorului OpenSSL libp11 versiunea 0.4.12 sau mai veche și a unui NetHSM cu multe chei va face ca încărcarea inițială a Nginx să fie lentă (mai mult de un minut pentru o mie de chei). Se recomandă utilizarea versiunii 0.4.13 sau mai noi sau construirea motorului de pe sursa.
Configurația Nginx#
ssl_engine pkcs11;
server {
listen 443 ssl;
server_name localhost;
ssl_certificate /certs/certificate.pem;
ssl_certificate_key "engine:pkcs11:pkcs11:object=webserver;type=private";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10s;
ssl_session_tickets off;
ssl_protocols TLSv1.3;
ssl_prefer_server_ciphers off;
# HSTS (ngx_http_headers_module is required) (63072000 seconds)
add_header Strict-Transport-Security "max-age=63072000" always;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
Adresa ssl_certificate trebuie să indice către un fișier de certificat de pe disc.
ssl_certificate_key poate fi o configurație OpenSSL. Aici folosim motorul OpenSSL cu modulul PKCS#11 și selectăm cheia privată cu eticheta/ID webserver și tipul de cheie private.
ssl_certificate_key "engine:pkcs11:pkcs11:object=webserver;type=private";
Notă
Trebuie să generați certificatul separat și apoi să îl încărcați în NetHSM. Dacă certificatul de pe disc și cheia din NetHSM nu se potrivesc, nginx nu va porni.
libnethsm_pkcs11 Configurație#
slots:
- label: LocalHSM
description: Local HSM (docker)
url: "https://192.168.3.161:8443/api/v1"
operator:
username: "operator"
password: "opPassphrase"
Pentru a securiza parola, o puteți furniza prin intermediul unei variabile de mediu ` <pkcs11-setup.html#passwords>`__) sau o puteți furniza în configurația nginx:
ssl_certificate_key "engine:pkcs11:pkcs11:object=webserver;type=private;pin=opPassphrase";
Exemplu#
Dacă doriți să experimentați cu exemplul dat utilizați git pentru a clona depozitul nethsm-pkcs11 și rulați următoarele comenzi:
Atenționare
Rularea scriptului de generare șterge cheia webserver și o înlocuiește.
Configurați un NetHSM, fie unul real, fie un container. Pentru mai multe informații, consultați ghidul get-started. Pe lângă un administrator, veți avea nevoie de un cont de operator.
Descărcați și instalați cea mai recentă versiune de nethsm-pkcs11 driver disponibil de aici.
Instalați motorul OpenSSL PKCS11 așa cum este descris în OpenSSL Manual. Nu este necesar să creați un fișier de configurare.
Ajustați variabilele
HOST,ADMIN_ACCOUNTșiADMIN_ACCOUNT_PWDîncontainer/nginx/generate.shastfel încâtHOSTsă conțină URL-ul și portul NetHSMs,ADMIN_ACCOUNTsă conțină numele de utilizator al contului de administrator șiADMIN_ACCOUNT_PWDparola corespunzătoare. În continuare, configurați calea absolută a motorului OpenSSL PKCS11 înOPENSSL_PKCS11_ENGINE_PATHși calea absolută a bibliotecii PKCS11 NetHSM înNETHSM_PKCS11_LIBRARY_PATH.Creați un fișier de configurare NetHSM PKCS11 într-una din locațiile cunoscute ` <pkcs11-setup.html#configuration>`__, de exemplu,
/etc/nitrokey/p11nethsm.conf. Acesta trebuie să aibă configurat un cont de operator și să utilizeze aceeași instanță NetHSM specificată în scriptul de generare anterior.Actualizați configurația PKCS11 din
container/nginx/p11nethsm.confcu URL-ul NetHSMs și acreditările valide ale operatorului.Generați certificatul și cheia.
./container/nginx/generate.sh
Construiți containerul.
docker build -f container/nginx/Dockerfile . -t pkcs-nginx
Rulați containerul.
docker run -p 9443:443 -p 9080:80 pkcs-nginx
Pagina de test NGINX va fi disponibilă la https://localhost:9443/. Rețineți că browserul dvs. vă va avertiza, sperăm, că certificatul site-urilor web este autofirmat.