EJBCA

Varovanie

Because of some integration problems with the Sun PKCS11 provider, keys generated from EJBCA will have a random name instead of the name given in the interface. Therefor this documentation is only a Proof-of-Concept. Support for EJBCA will be introduced by NetHSM software 3.0.

EJBCA je softvér PKI certifikačnej autority dostupný ako open source.

Aby ste mohli používať NetHSM s EJBCA, musíte najprv nastaviť ` <pkcs11-setup.html>`__ modul NetHSM PKCS#11.

Potom nakonfigurujte EJBCA na používanie modulu NetHSM PKCS#11 pridaním položky do súboru /etc/ejbca/conf/web.properties:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so

Poznámka

418 v názve je index, ktorý musí byť jedinečný pre každý modul PKCS#11 v konfiguračnom súbore.

Aby ste mohli generovať kľúče z rozhrania, musíte v súbore p11nethsm.conf nastaviť možnosť enable_set_attribute_value na hodnotu true.

Po reštarte EJBCA môžete pridať nový Crypto Token v grafickom rozhraní administrátora EJBCA https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Typ Crypto Tokenu je PKCS#11 Crypto Token a názov Crypto Tokenu je NetHSM.

Vykonanie príkladu

Ak chcete experimentovať s daným príkladom, môžete použiť git na klonovanie repozitára nethsm-pkcs11 a spustiť nasledujúce príkazy:

  1. Configure a NetHSM, either a real one or a container. Refer to chapter Getting Started to learn more.

  2. Zmeňte konfiguráciu libnethsm_pkcs11 tak, aby zodpovedala vášmu NetHSM na container/ejbca/p11nethsm.conf.

  3. Zostavte kontajner.

docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca

  1. Spustite kontajner.

docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca

Kontajner bude k dispozícii na https://localhost:9443/.