EJBCA¶
Opomba
EJBCA zahteva vsaj NetHSM v3 in nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
EJBCA Community Edition je odprtokodna programska oprema PKI Certificate Authority.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Nato konfigurirajte EJBCA za uporabo modula NetHSM PKCS#11 tako, da dodate vnos v datoteko /etc/ejbca/conf/web.properties:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Opomba
418 v imenu je indeks, ki mora biti edinstven za vsak modul PKCS#11 v konfiguracijski datoteki.
Po ponovnem zagonu EJBCA lahko dodate nov kriptožeton v grafičnem uporabniškem vmesniku upravitelja EJBCA https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Vrsta kriptožetona je PKCS#11 Crypto Token, ime kriptožetona pa NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
EJBCA Enterprise Edition zagotavlja napredne funkcije in podporo za podjetja.
Konfiguracija za EJBCA EE se razlikuje od različice Community Edition. Namesto neposredne konfiguracije modula PKCS#11 v programu EJBCA Enterprise Edition uporablja pristop sidecar container. Ta stranski vsebnik zagotavlja povezavo p11ng (PKCS#11 Next Generation) z NetHSM, kar omogoča nemoteno integracijo brez spreminjanja glavnega vsebnika EJBCA.
Podrobne informacije o konfiguriranju varnostnih modulov strojne opreme (HSM) z EJBCA EE najdete v uradni dokumentaciji EJBCA HSM.
Docker Setup¶
Zagotavljamo popolno namestitev v zabojnikih za integracijo EJBCA EE z NetHSM. Nastavitev vključuje:
EJBCA EE container
NetHSM PKCS#11 sidecar vsebnik (p11ng)
Posoda NetHSM za testiranje
Sliko vsebnika in konfiguracijo najdete v imeniku container/ejbca-ee/ skladišča NetHSM-pkcs11.
Imenik vključuje popolno datoteko docker-compose.yml, ki prikliče vse potrebne komponente, vključno z instanco NetHSM za namene testiranja. To zagotavlja okolje, pripravljeno za uporabo za eksperimentiranje z integracijo EJBCA EE in NetHSM.
Opomba
Dockerfile in docker-compose.yml vsebujeta sklicevanja na uradne shrambe, pred njihovo uporabo se prepričajte, da ste zagnali docker login.
Trenutno je omejitev ta, da ni mogoče izbrati Padding Scheme za določen kriptožeton. Zato bo RSA vedno uporabljal PKCS#1 (in ne PSS).