EJBCA

EJBCA je programska oprema overitelja potrdil PKI, ki je na voljo kot odprta koda.

Če želite uporabljati NetHSM z EJBCA, morate najprej nastaviti ` <pkcs11-setup.html>`__ modul NetHSM PKCS#11.

Nato konfigurirajte EJBCA za uporabo modula NetHSM PKCS#11 tako, da dodate vnos v datoteko /etc/ejbca/conf/web.properties:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so

Opomba

418 v imenu je indeks, ki mora biti edinstven za vsak modul PKCS#11 v konfiguracijski datoteki.

Če želite ustvariti ključe iz vmesnika, morate v datoteki p11nethsm.conf nastaviti možnost enable_set_attribute_value na true.

Opozorilo

Zaradi nekaterih težav pri integraciji s ponudnikom Sun PKCS11 bodo imeli ključi, ustvarjeni iz EJBCA, namesto imena, navedenega v vmesniku, naključno ime.

Po ponovnem zagonu EJBCA lahko dodate nov kriptožeton v grafičnem uporabniškem vmesniku upravitelja EJBCA https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Vrsta kriptožetona je PKCS#11 Crypto Token, ime kriptožetona pa NetHSM.

Izvajanje primera

Če želite eksperimentirati z danim primerom, lahko s programom git klonirate skladišče nethsm-pkcs11 in zaženete naslednje ukaze:

  • Konfigurirajte NetHSM, bodisi pravi bodisi vsebnik. Za več informacij glejte priročnik za začetek.

  • Spremenite konfiguracijo libnethsm_pkcs11, da bo ustrezala vašemu NetHSM na container/ejbca/p11nethsm.conf.

  • Zgradite posodo.

    docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca
    
  • Zaženite vsebnik.

    docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca
    

Zabojnik bo na voljo na spletni strani https://localhost:9443/.