EJBCA¶
Примечание
Для работы EJBCA требуется как минимум NetHSM v3 и nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
EJBCA Community Edition - это программное обеспечение центра сертификации PKI с открытым исходным кодом.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Затем настройте EJBCA на использование модуля NetHSM PKCS#11, добавив соответствующую запись в файл /etc/ejbca/conf/web.properties:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Примечание
418 в имени - это индекс, который должен быть уникальным для каждого модуля PKCS#11 в конфигурационном файле.
После перезапуска EJBCA вы можете добавить новый крипто-токен в графическом интерфейсе администратора EJBCA https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Тип криптографического токена - PKCS#11 Crypto Token, имя криптографического токена - NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
EJBCA Enterprise Edition предоставляет расширенные возможности и поддержку корпоративного уровня.
Конфигурация для EJBCA EE отличается от Community Edition. Вместо того чтобы настраивать модуль PKCS#11 непосредственно в EJBCA, в Enterprise Edition используется подход sidecar container. Этот контейнер sidecar обеспечивает соединение p11ng (PKCS#11 Next Generation) с NetHSM, обеспечивая бесшовную интеграцию без модификации основного контейнера EJBCA.
Подробную информацию о настройке аппаратных модулей безопасности (HSM) с EJBCA EE см. на официальном сайте EJBCA HSM documentation.
Docker Setup¶
Мы предоставляем полную контейнерную установку для интеграции EJBCA EE с NetHSM. Установка включает в себя:
EJBCA EE container
Контейнер NetHSM PKCS#11 sidecar (p11ng)
Контейнер NetHSM для тестирования
Образ контейнера и конфигурацию можно найти в каталоге container/ejbca-ee/ репозитория nethsm-pkcs11.
В каталог входит полный файл docker-compose.yml, который вызывает все необходимые компоненты, включая экземпляр NetHSM для тестирования. Это обеспечивает готовую к использованию среду для экспериментов с интеграцией EJBCA EE и NetHSM.
Примечание
Dockerfile и docker-compose.yml содержат ссылки на официальные репозитории, перед их использованием обязательно запустите docker login.
В настоящее время ограничение заключается в том, что нет возможности выбрать схему набивки ** для конкретного криптографического токена ** . Поэтому RSA всегда будет использовать схему набивки PKCS#1 (а не PSS).