EJBCA¶
Observera
EJBCA kräver minst NetHSM v3 och nethsm-pkcs11 v2.
EJBCA is a PKI Certificate Authority software available in both Community (CE) and Enterprise Edition (EE).
EJBCA Community¶
EJBCA Community Edition är en programvara för PKI-certifikatutfärdare med öppen källkod.
To be able to use NetHSM with EJBCA CE you need to setup the NetHSM PKCS#11 module first.
Konfigurera sedan EJBCA att använda NetHSM PKCS#11-modulen genom att lägga till en post i filen /etc/ejbca/conf/web.properties:
cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so
cryptotoken.p11.lib.418.canGenerateKey=true
Observera
418 i namnet är ett index som måste vara unikt för varje PKCS#11-modul i konfigurationsfilen.
Efter omstart av EJBCA kan du lägga till en ny Crypto Token i EJBCA Admin GUI https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Crypto Token-typen är PKCS#11 Crypto Token och Crypto Token-namnet är NetHSM.
Docker Example¶
We provide an example setup using docker for testing. If you want to experiment with it you can use git to clone the nethsm-pkcs11 repository and then follow the steps described in the file container/ejbca/README.md.
EJBCA Enterprise¶
EJBCA Enterprise Edition ger avancerade funktioner och stöd för företag.
Konfigurationen för EJBCA EE skiljer sig från Community Edition. Istället för att konfigurera PKCS#11-modulen direkt i EJBCA använder Enterprise Edition en sidecar-container -strategi. Denna sidecar-container tillhandahåller p11ng-anslutningen (PKCS#11 Next Generation) till NetHSM, vilket möjliggör sömlös integration utan att ändra EJBCA:s huvudcontainer.
För detaljerad information om hur du konfigurerar Hardware Security Modules (HSM) med EJBCA EE, se den officiella EJBCA HSM-dokumentationen.
Docker Setup¶
Vi tillhandahåller en komplett containeriserad installation för EJBCA EE-integration med NetHSM. Installationen inkluderar:
EJBCA EE container
NetHSM PKCS#11 sidovagn behållare (p11ng)
NetHSM-behållare för testning
Du hittar containeravbildningen och konfigurationen i katalogen container/ejbca-ee/ i NetHSM-pkcs11-arkivet.
Katalogen innehåller en komplett docker-compose.yml-fil som hämtar alla nödvändiga komponenter, inklusive en NetHSM-instans för teständamål. Detta ger en färdig miljö för att experimentera med EJBCA EE och integration med NetHSM.
Observera
Dockerfile och docker-compose.yml innehåller referenser till de officiella arkiven, se till att köra docker login innan du använder dem.
För närvarande är en begränsning att det inte finns något sätt att välja Padding Scheme för en viss Crypto Token. Därför kommer RSA alltid att använda PKCS#1 padding (och inte PSS).