EJBCA¶
EJBCA je softvér PKI certifikačnej autority dostupný ako open source.
Aby ste mohli používať NetHSM s EJBCA, musíte najprv nastaviť ` <pkcs11-setup.html>`__ modul NetHSM PKCS#11.
Potom nakonfigurujte EJBCA na používanie modulu NetHSM PKCS#11 pridaním položky do súboru /etc/ejbca/conf/web.properties
:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
Poznámka
418
v názve je index, ktorý musí byť jedinečný pre každý modul PKCS#11 v konfiguračnom súbore.
Aby ste mohli generovať kľúče z rozhrania, musíte v súbore p11nethsm.conf
nastaviť možnosť enable_set_attribute_value
na hodnotu true.
Varovanie
Kvôli niektorým problémom s integráciou s poskytovateľom Sun PKCS11 budú mať kľúče generované z EJBCA náhodné meno namiesto mena uvedeného v rozhraní.
Po reštarte EJBCA môžete pridať nový Crypto Token v grafickom rozhraní administrátora EJBCA https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml
. Typ Crypto Tokenu je PKCS#11 Crypto Token
a názov Crypto Tokenu je NetHSM
.
Vykonanie príkladu¶
Ak chcete experimentovať s daným príkladom, môžete použiť git na klonovanie repozitára nethsm-pkcs11 a spustiť nasledujúce príkazy:
Nakonfigurujte NetHSM, buď skutočný, alebo kontajner. Viac informácií nájdete v príručke getting-started guide.
Zmeňte konfiguráciu libnethsm_pkcs11 tak, aby zodpovedala vášmu NetHSM na
container/ejbca/p11nethsm.conf
.Zostavte kontajner.
docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
Spustite kontajner.
docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
Kontajner bude k dispozícii na https://localhost:9443/.