EJBCA

Varning

Because of some integration problems with the Sun PKCS11 provider, keys generated from EJBCA will have a random name instead of the name given in the interface. Therefor this documentation is only a Proof-of-Concept. Support for EJBCA will be introduced by NetHSM software 3.0.

EJBCA är en programvara för PKI-certifikatutfärdare som finns tillgänglig som öppen källkod.

För att kunna använda NetHSM med EJBCA måste du först setup NetHSM PKCS#11-modulen.

Konfigurera sedan EJBCA att använda NetHSM PKCS#11-modulen genom att lägga till en post i filen /etc/ejbca/conf/web.properties:

cryptotoken.p11.lib.418.name=NetHSM
cryptotoken.p11.lib.418.file=/usr/lib/nitrokey/libnethsm_pkcs11.so

Observera

418 i namnet är ett index som måste vara unikt för varje PKCS#11-modul i konfigurationsfilen.

För att kunna generera nycklar från gränssnittet måste du ange alternativet enable_set_attribute_value till true i filen p11nethsm.conf.

Efter omstart av EJBCA kan du lägga till en ny Crypto Token i EJBCA Admin GUI https://mycahostname/ejbca/adminweb/cryptotoken/cryptotokens.xhtml. Crypto Token-typen är PKCS#11 Crypto Token och Crypto Token-namnet är NetHSM.

Utförande av exemplet

Om du vill experimentera med det givna exemplet kan du använda git för att klona nethsm-pkcs11 repository och köra följande kommandon:

  1. Configure a NetHSM, either a real one or a container. Refer to chapter Getting Started to learn more.

  2. Ändra libnethsm_pkcs11-konfigurationen så att den matchar din NetHSM i container/ejbca/p11nethsm.conf.

  3. Bygg upp behållaren.

docker build -f container/ejbca/Dockerfile . -t pkcs-ejbca

  1. Kör containern.

docker run --rm -it -p 9443:8443 -p 9080:8080 -h mycahostname -e TLS_SETUP_ENABLED="simple" pkcs-ejbca

Containern kommer att finnas tillgänglig på https://localhost:9443/.