Token criptográfico CP5
EIDAS Esta es una característica eIDAS de EJBCA.
El HSM Utimaco CryptoServer CP5, compatible con eIDAS, gracias a sus funcionalidades de autorización de claves, es ideal para la creación de firmas cualificadas y la firma remota conformes con eIDAS. Otras áreas de aplicación incluyen la emisión de certificados (cualificados), OCSP y el sellado de tiempo.
El CryptoServer CP5 utiliza una clave de autorización de clave (KAK) y tiene un conjunto de características que requieren que se realicen operaciones de clave adicionales desde EJBCA antes de su uso.
Las siguientes secciones proporcionan información sobre la clave de autorización de clave (KAK) y cómo configurar el token criptográfico CP5.
Clave de autorización de clave
Una de las principales diferencias con el HSM CryptoServer CP5 es el uso de la denominada Clave de Autorización de Clave (KAK). Las claves del HSM deben estar asociadas y autorizadas por una KAK antes de poder usarse. El HSM permite usar la misma KAK para varias claves; sin embargo, las claves eIDAS deben tener una KAK individual para cada clave. En EJBCA, las claves de autorización de clave se crean y residen en un token criptográfico, como cualquier otra clave. Esto permite almacenar las claves cifradas en la base de datos como un token "soft" o mediante un dispositivo PKCS#11.
La KAK será necesaria para reautorizar la clave del HSM tras reiniciarlo o tras superar el número máximo de operaciones (si no es ilimitado). Además, el HSM permite cambiar la KAK de una clave determinada. Por lo tanto, se recomienda encarecidamente asignar un nombre a las claves de autorización de claves que indique a qué clave del HSM pertenecen. Debido a las limitaciones del HSM, el estado de autorización no se puede recuperar mediante PKCS#11. Sin embargo, se puede leer con la herramienta Utimaco CXI.
La KAK debe ser una clave RSA de >= 2048 bits.
Crear token criptográfico
Para crear un token criptográfico CP5, haga lo siguiente:
En la interfaz de usuario de EJBCA, haga clic en Tokens criptográficos en Funciones de CA.
En la página Administrar tokens criptográficos, haga clic en Crear nuevo .
En la página Nuevo token criptográfico, seleccione Tipo = PKCS#11 CP5 .
Haga clic en Guardar .
Campos de gestión de claves
Además de los campos estándar, los siguientes campos para la gestión de claves están disponibles para CP5 Crypto Token.
Campo | Descripción |
Esquema de relleno | Esquema de relleno utilizado para firmar el hash enviado desde HSM durante la inicialización y autorización de la clave (los valores válidos son PSS y PKCS#1). Tenga en cuenta que algunos proveedores de Java PKCS#11 no son compatibles con RSASSA-PSS de fábrica, en cuyo caso puede ser preferible PKCS#1. Para obtener más información, consulte Módulos de seguridad de hardware (HSM) . |
Clave de autorización de clave (KAK) | Clave utilizada para la inicialización y autorización de claves HSM CP5. La clave KAK debe estar ya creada en otro token criptográfico (Software o PKCS#11) y referenciada desde este campo. |
Uso de la clave | Las claves generadas en el HSM CP5 deben tener un uso definido: cifrado/descifrado o firma/verificación. |
Inicializar y autorizar
Antes de poder usar una clave CP5, debe inicializarse, es decir, asociarse a una Clave de Autorización de Clave (KAK) y autorizarse su uso. Una vez seleccionado un esquema de relleno y una KAK (véase más arriba), al hacer clic en Inicializar , se asociará la KAK con la clave HSM de destino. Para autorizar el uso de la clave HSM, haga clic en Autorizar y especifique el número máximo de operaciones permitidas.
Habilitar Ilimitado permitirá un número infinito de operaciones realizadas por la clave HSM.
Importante
El número máximo de operaciones permitidas no es necesariamente equivalente al número de acciones realizadas en EJBCA. Algunas operaciones en EJBCA realizan múltiples operaciones con la clave. Por ejemplo, al probar una clave, se realizan múltiples firmas, lo que reduciría el número de operaciones restantes en más de una.
Administrar claves desde la CLI
Se pueden realizar funciones adicionales para la gestión de teclas CP5 utilizando la herramienta P11Ng CLI .