Cómo configurar la protección de la base de datos mediante HMAC

A continuación se describe cómo configurar la protección de la base de datos utilizando el algoritmo HMAC para la protección de la integridad.

1. Generar una clave privada y un certificado.

   openssl ecparam -genkey -name prime256v1 -noout -out key.pem

   openssl req - new -x509 -key key.pem -out certificate.pem -days 7300 -subj "/CN=Database Protection"

2. Guarde la clave privada y el certificado en un archivo PKCS#12. OpenSSL le solicitará una contraseña que se usará para cifrar el almacén de claves. Anote esta contraseña, ya que la necesitará más adelante.

   openssl pkcs12 -export -inkey key.pem -in certificate.pem -out bag.p12 -name dbProtect

3. Imprima el archivo PKCS#12 codificado en base64.

   cat bag.p12 | base64 | tr -d '\012'

4. Coloque la siguiente configuración en databaseprotection.properties .

   conf/databaseprotection.properties

   234 databaseprotection.keyid. = 1

   1 databaseprotection.keylabel. = dbProtect

   1 databaseprotection.classname. = org.cesecore.keys.token.SoftCryptoToken

   databaseprotection.data. 1 = <the base64 encoded bag.p12 goes here>

   databaseprotection.tokenpin. for = <the password 1 bag.p12>

   1 databaseprotection.version. = 1