EJBCA

EJBCA je softvér PKI certifikačnej autority dostupný ako open source.

Aby ste mohli používať NetHSM s EJBCA, musíte najprv nastaviť ` <pkcs11-setup.html>`__ modul NetHSM PKCS#11.

Potom nakonfigurujte EJBCA na používanie modulu NetHSM PKCS#11 pridaním položky do súboru /etc/ejbca/conf/web.properties:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so

Poznámka

418 v názve je index, ktorý musí byť jedinečný pre každý modul PKCS#11 v konfiguračnom súbore.

Aby ste mohli generovať kľúče z rozhrania, musíte v súbore p11nethsm.conf nastaviť možnosť enable_set_attribute_value na hodnotu true.

Varovanie

Kvôli niektorým problémom s integráciou s poskytovateľom Sun PKCS11 budú mať kľúče generované z EJBCA náhodné meno namiesto mena uvedeného v rozhraní.

Po reštarte EJBCA môžete pridať nový Crypto Token v grafickom rozhraní administrátora EJBCA https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Typ Crypto Tokenu je PKCS#11 Crypto Token a názov Crypto Tokenu je NetHSM.

Vykonanie príkladu

Ak chcete experimentovať s daným príkladom, môžete použiť git na klonovanie repozitára nethsm-pkcs11 a spustiť nasledujúce príkazy:

  • Nakonfigurujte NetHSM, buď skutočný, alebo kontajner. Viac informácií nájdete v príručke getting-started guide.

  • Zmeňte konfiguráciu libnethsm_pkcs11 tak, aby zodpovedala vášmu NetHSM na container/ejbca/p11nethsm.conf.

  • Zostavte kontajner.

    docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
    
  • Spustite kontajner.

    docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
    

Kontajner bude k dispozícii na https://localhost:9443/.