EJBCA¶
EJBCA je programska oprema overitelja potrdil PKI, ki je na voljo kot odprta koda.
Če želite uporabljati NetHSM z EJBCA, morate najprej nastaviti ` <pkcs11-setup.html>`__ modul NetHSM PKCS#11.
Nato konfigurirajte EJBCA za uporabo modula NetHSM PKCS#11 tako, da dodate vnos v datoteko /etc/ejbca/conf/web.properties
:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
Opomba
418
v imenu je indeks, ki mora biti edinstven za vsak modul PKCS#11 v konfiguracijski datoteki.
Če želite ustvariti ključe iz vmesnika, morate v datoteki p11nethsm.conf
nastaviti možnost enable_set_attribute_value
na true.
Opozorilo
Zaradi nekaterih težav pri integraciji s ponudnikom Sun PKCS11 bodo imeli ključi, ustvarjeni iz EJBCA, namesto imena, navedenega v vmesniku, naključno ime.
Po ponovnem zagonu EJBCA lahko dodate nov kriptožeton v grafičnem uporabniškem vmesniku upravitelja EJBCA https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml
. Vrsta kriptožetona je PKCS#11 Crypto Token
, ime kriptožetona pa NetHSM
.
Izvajanje primera¶
Če želite eksperimentirati z danim primerom, lahko s programom git klonirate skladišče nethsm-pkcs11 in zaženete naslednje ukaze:
Konfigurirajte NetHSM, bodisi pravi bodisi vsebnik. Za več informacij glejte priročnik za začetek.
Spremenite konfiguracijo libnethsm_pkcs11, da bo ustrezala vašemu NetHSM na
container/ejbca/p11nethsm.conf
.Zgradite posodo.
docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
Zaženite vsebnik.
docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
Zabojnik bo na voljo na spletni strani https://localhost:9443/.