Nastavitev PKCS#11#
Namestitev#
Modul NetHSM PKCS#11 lahko dobite kot predkompilirano binarno datoteko ali pa ga sestavite iz izvorne kode.
Predkompilirane binarne datoteke#
Datoteko modula, ki ustreza vašemu sistemu, prenesite s strani releases repozitorija.
Datoteko modula kopirajte v imenik, kjer jo aplikacije PKCS#11 pričakujejo.
Sestavljanje iz vira#
Namestite verigo orodij Rust.
Izvorno kodo prenesite in izločite s strani releases page ali klonirate repozitorij ` <https://github.com/Nitrokey/nethsm-pkcs11>` __.
Zaženite
cargo build --release
v izvornem imeniku.
Konfiguracija#
Privzeto modul išče konfiguracijske datoteke v:
/etc/nitrokey/p11nethsm.conf
/usr/local/etc/nitrokey/p11nethsm.conf
$HOME/.config/nitrokey/p11nethsm.conf
Če je na voljo več datotek, se konfiguracije združijo, tako da modul uporabi reže vseh konfiguracijskih datotek.
Lokacijo konfiguracijske datoteke (prebrana bo samo ta) lahko nastavite ročno s spremenljivko okolja P11NETHSM_CONFIG_FILE
(npr. P11NETHSM_CONFIG_FILE=./p11nethsm.conf
).
Oblika konfiguracijske datoteke#
Konfiguracija je oblikovana v formatu yaml:
# Set this option to true to enable the compatibility option for the C_SetAttributeValue() function.
# This allows the applications using the Java Sun PKCS11 module (like EJBCA) to generate keys.
# When using this, the names given to the keys will be ignored and the keys will have random names.
# Under the hood it will store in memory the name given to the key when calling C_SetAttributeValue(). When a certificate is uploaded it will check if the name was previously passed to C_SetAttributeValue() and translate it to the real name on the NetHSM.
enable_set_attribute_value: false
# You can set the log file location here.
# If no value is set the module will output to stderr.
# If a value is set it will output to the file.
log_file: /tmp/p11nethsm.log
# Optional log level
log_level: Debug
# Each "slot" represents a NetHSM server
slots:
- label: LocalHSM # Name you NetHSM however you want
description: Local HSM (docker) # Optional description
# Users connecting to the NetHSM server
operator:
username: "operator"
password: "env:LOCALHSMPASS"
administrator:
username: "admin"
# List the NetHSM instances
instances:
- url: "https://keyfender:8443/api/v1" # URL to reach the server
# When the NetHSM has a self-signed certificate, it can be verified by a sha256 fingerprint of the NetHSM's certificate:
sha256_fingerprints:
- "31:92:8E:A4:5E:16:5C:A7:33:44:E8:E9:8E:64:C4:AE:7B:2A:57:E5:77:43:49:F3:69:C9:8F:C4:2F:3A:3B:6E"
Primerki#
Če je v isti reži navedenih več primerkov NetHSM, morajo biti ti primerki konfigurirani v gruči. Pooblastila uporabnikov in ključi morajo biti enaki na vseh primerkih.
Modul bo instance uporabljal na krožni način, pri čemer bo v primeru neuspeha poskusil z drugo instanco.
Uporabniki#
Uporabnika operater in administrator sta neobvezna, vendar se modul ne zažene, če ni konfiguriran noben uporabnik. To je zato, da lahko modul konfigurirate samo z uporabnikom administratorjem, samo z uporabnikom operaterjem ali z obema hkrati.
Ko sta uporabnika nastavljena, modul privzeto uporablja uporabnika operaterja in uporabnika administratorja uporabi le, kadar je to potrebno za akcijo.
Običajni uporabnik PKCS11 je preslikan na operaterja NetHSM, uporabnik PKCS11 SO pa na administratorja NetHSM.
Gesla#
Geslo lahko zagotovite na več načinov:
V navadnem besedilu v konfiguraciji
password: "mypassword"
V spremenljivki okolja, ki jo prebere modul s predpono
env:
:env:ENV_STORING_THE_PASSWORD
S funkcijo prijave v programu pkcs11, primer za pcks11-tool: pkcs11-tool –module libnethsm_pkcs11.so -p opPassphrase Za zagotovitev gesla upravitelja morate namesto tega uporabiti
--so-pin
:pkcs11-tool --module libnethsm_pkcs11.so --login --login-type so --so-pin Administrator
Če geslo uporabnika ni nastavljeno v konfiguracijski datoteki, bo za vpis gesla potrebna prijava (3. metoda).
NetHSM, ki ne deluje, se šteje za režo, v kateri žeton ni prisoten.