Nastavenie PKCS#11#
Inštalácia#
Modul NetHSM PKCS#11 môžete získať buď ako predkompilovaný binárny súbor, alebo ho môžete skompilovať zo zdrojového kódu.
Predkompilované binárne súbory#
Stiahnite si súbor modulu zodpovedajúci vášmu systému zo stránky releases úložiska.
Skopírujte súbor modulu do adresára, v ktorom ho vaše aplikácie PKCS#11 očakávajú.
Kompilácia zo zdroja#
Nainštalujte reťazec nástrojov Rust.
Stiahnite a rozbaľte zdrojový kód zo stránky releases alebo klonujte repozitár ` <https://github.com/Nitrokey/nethsm-pkcs11>` __.
Spustite
cargo build --release
v zdrojovom adresári.
Konfigurácia#
V predvolenom nastavení modul vyhľadáva konfiguračné súbory v:
/etc/nitrokey/p11nethsm.conf
/usr/local/etc/nitrokey/p11nethsm.conf
$HOME/.config/nitrokey/p11nethsm.conf
Ak je prítomných viacero súborov, konfigurácie sa zlúčia tak, aby modul použil sloty všetkých konfiguračných súborov.
Umiestnenie konfiguračného súboru môžete nastaviť ručne (načíta sa len tento súbor) pomocou premennej env P11NETHSM_CONFIG_FILE
(napr. P11NETHSM_CONFIG_FILE=./p11nethsm.conf
).
Formát konfiguračného súboru#
Konfigurácia je vo formáte yaml:
# Set this option to true to enable the compatibility option for the C_SetAttributeValue() function.
# This allows the applications using the Java Sun PKCS11 module (like EJBCA) to generate keys.
# When using this, the names given to the keys will be ignored and the keys will have random names.
# Under the hood it will store in memory the name given to the key when calling C_SetAttributeValue(). When a certificate is uploaded it will check if the name was previously passed to C_SetAttributeValue() and translate it to the real name on the NetHSM.
enable_set_attribute_value: false
# You can set the log file location here.
# If no value is set the module will output to stderr.
# If a value is set it will output to the file.
log_file: /tmp/p11nethsm.log
# Optional log level
log_level: Debug
# Each "slot" represents a NetHSM server
slots:
- label: LocalHSM # Name you NetHSM however you want
description: Local HSM (docker) # Optional description
# Users connecting to the NetHSM server
operator:
username: "operator"
password: "env:LOCALHSMPASS"
administrator:
username: "admin"
# List the NetHSM instances
instances:
- url: "https://keyfender:8443/api/v1" # URL to reach the server
# When the NetHSM has a self-signed certificate, it can be verified by a sha256 fingerprint of the NetHSM's certificate:
sha256_fingerprints:
- "31:92:8E:A4:5E:16:5C:A7:33:44:E8:E9:8E:64:C4:AE:7B:2A:57:E5:77:43:49:F3:69:C9:8F:C4:2F:3A:3B:6E"
Inštancie#
Ak je v tom istom slote uvedených viac inštancií NetHSM, tieto inštancie musia byť nakonfigurované v klastri. Prihlasovacie údaje používateľov a kľúče musia byť na všetkých inštanciách rovnaké.
Modul bude používať inštancie okružným spôsobom, pričom v prípade zlyhania jednej inštancie vyskúša inú inštanciu.
Používatelia#
Používatelia operátor a správca sú voliteľní, ale modul sa nespustí, ak nie je nakonfigurovaný žiadny používateľ. Je to preto, aby ste mohli nakonfigurovať modul len s používateľom administrátora, len s používateľom operátora alebo s oboma súčasne.
Keď sú nastavení dvaja používatelia, modul bude predvolene používať používateľa operátora a používateľa správcu použije len vtedy, keď to akcia vyžaduje.
Bežný používateľ PKCS11 je namapovaný na operátora NetHSM a PKCS11 SO je namapovaný na správcu NetHSM.
Heslá#
Heslo možno zadať viacerými spôsobmi:
V jednoduchom texte v konfigurácii
password: "mypassword"
V premennej prostredia načítanej modulom s prefixom
env:
:env:ENV_STORING_THE_PASSWORD
Prostredníctvom prihlasovacej funkcie pkcs11, príklad pre pcks11-tool: pkcs11-tool –module libnethsm_pkcs11.so -p opPassphrase Na zadanie hesla administrátora je potrebné namiesto neho použiť
--so-pin
:pkcs11-tool --module libnethsm_pkcs11.so --login --login-type so --so-pin Administrator
Ak heslo používateľa nie je nastavené v konfiguračnom súbore, bude sa vyžadovať prihlásenie na zadanie hesla (3. metóda).
NetHSM, ktorý nie je v prevádzke, sa považuje za slot s neprítomným tokenom.