EJBCA¶
Poznámka
EJBCA vyžaduje aspoň NetHSM v3 a nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
EJBCA Community Edition je open source softvér PKI Certificate Authority.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Potom nakonfigurujte EJBCA na používanie modulu NetHSM PKCS#11 pridaním položky do súboru /etc/ejbca/conf/web.properties:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Poznámka
418 v názve je index, ktorý musí byť jedinečný pre každý modul PKCS#11 v konfiguračnom súbore.
Po reštarte EJBCA môžete pridať nový Crypto Token v grafickom rozhraní administrátora EJBCA https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Typ Crypto Tokenu je PKCS#11 Crypto Token a názov Crypto Tokenu je NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
EJBCA Enterprise Edition poskytuje pokročilé funkcie a podporu pre podniky.
Konfigurácia pre EJBCA EE sa líši od verzie Community Edition. Namiesto konfigurácie modulu PKCS#11 priamo v aplikácii EJBCA sa v edícii Enterprise používa prístup kontajnera sidecar. Tento kontajner sidecar poskytuje pripojenie p11ng (PKCS#11 Next Generation) k NetHSM, čo umožňuje bezproblémovú integráciu bez úpravy hlavného kontajnera EJBCA.
Podrobné informácie o konfigurácii hardvérových bezpečnostných modulov (HSM) s EJBCA EE nájdete v oficiálnej dokumentácii EJBCA HSM.
Docker Setup¶
Poskytujeme kompletné kontajnerové nastavenie pre integráciu EJBCA EE s NetHSM. Nastavenie zahŕňa:
EJBCA EE container
NetHSM PKCS#11 sidecar kontajner (p11ng)
Kontajner NetHSM na testovanie
Obraz kontajnera a konfiguráciu nájdete v adresári container/ejbca-ee/ repozitára NetHSM-pkcs11.
Adresár obsahuje kompletný súbor docker-compose.yml, ktorý vyvolá všetky potrebné komponenty vrátane inštancie NetHSM na testovacie účely. To poskytuje prostredie pripravené na použitie na experimentovanie s integráciou EJBCA EE a NetHSM.
Poznámka
Dockerfile a docker-compose.yml obsahujú odkazy na oficiálne úložiská, pred ich použitím sa uistite, že ste spustili docker login.
V súčasnosti je obmedzením to, že neexistuje spôsob, ako vybrať Padding Scheme pre konkrétny Crypto Token. Preto RSA vždy použije vypĺňanie PKCS#1 (a nie PSS).