EJBCA admite el uso del producto de gestión de claves de Unbound, Unbound Key Control (UKC), para brindar protección de claves mejorada a EJBCA que actúa como un vHSM virtual.

Prerrequisitos

Para integrar el cliente UKC con EJBCA, se deben cumplir los siguientes requisitos:

Cliente UKC instalado y configurado en la máquina que ejecuta EJBCA.
Una partición para almacenar el material de clave EJBCA creado en el servidor UKC.
Máquina EJBCA registrada como cliente de la partición.
UKC configurado como un módulo HSM en la máquina EJBCA según los pasos que se describen a continuación.

Para obtener documentación sobre Unbound Key Control (UKC), consulte la Biblioteca de documentos técnicos de Unbound .

Integrar UKC en EJBCA

Para configurar UKC como un módulo EJBCA PKCS#11, haga lo siguiente:

Localice el archivo de software UKC PKCS#11 libekmpkcs11.so, por ejemplo, /usr/lib64/libekmpkcs11.so.
Ubique la lista de bibliotecas CryptoToken PKCS#11 en el archivo de configuración EJBCA conf/web.properties, por ejemplo:
# Available PKCS#11 CryptoToken libraries and their display names
#cryptotoken.p11.lib.10.name=*********************
#cryptotoken.p11.lib.10.file=**********************
Descomente una entrada en la lista y agregue la biblioteca UKC PKCS#11 y su nombre mostrado:
cryptotoken.p11.lib.XX.name=Unbound UKC
cryptotoken.p11.lib.XX.file=/usr/lib64/libekmpkcs11.so
Por ejemplo:
# Available PKCS#11 CryptoToken libraries and their display names
cryptotoken.p11.lib.10.name=Unbound Tech.
cryptotoken.p11.lib.10.file=/usr/lib64/libekmpkcs11.so
#cryptotoken.p11.lib.11.name=*********************
#cryptotoken.p11.lib.11.file=*********************

Para obtener más información sobre los módulos HSM EJBCA y la configuración de HSM, consulte Módulos de seguridad de hardware (HSM) .