将SoftHSM库公开给主机中运行的代码

时间:2019-06-25 14:17:08

标签: docker pkcs#11 softhsm

我正在使用本地安装在计算机上的node-webcrypto-p11软件包在SoftHSMv2中生成密钥对。我想为SoftHSM设置一个docker容器,以便任何开发人员都可以构建镜像并在回购中使用docker文件运行该容器,而无需完成构建SoftHSM的整个步骤。

我目前正在使用此https://github.com/psmiraglia/docker-softhsm来构建映像并运行SoftHSM的容器。但是我不确定如何在代码中访问容器内部的库。目前,我正在使用下面给出的代码。有什么方法可以访问容器中的库。 注意:这只是为了使其他开发人员的生命不再用于部署。 

import {
    Crypto
} from 'node-webcrypto-p11';
// Need to set the library path from container.
// The given below path is for host machine.
const crypto = new Crypto({
    library: "/usr/local/lib/softhsm/libsofthsm2.so",
    name: "SoftHSMv2",
    slot: 0,
    readWrite: true,
    pin: "0987654321",
});

1 个答案:

答案 0 :(得分:0)

正如@ david-maze所说,SoftHSMv2是一个正义的库,只能在本地使用。在Ubuntu 20.04中,它可以作为标准存储库中的deb软件包使用。

注意 SoftHSMv2根本不用于生产用途,它可以用于开发目的,因为此类硬件非常昂贵。它具有PKCS11接口,因此可以与此接口一起使用的所有HSM的代码都应该相同。

通过这种方式,您可以通过pkcs11-proxy/daemon https://github.com/SUNET/pkcs11-proxy远程使用SoftHSMv2。似乎它已经被放弃了,但仍在运作中。同样,它是非生产变体。

那么如何在例如Ubuntu 20.04?

在服务器上。

  1. 安装用于构建pkcs11-proxy的依赖项:
$ apt-get install -y \
    ca-certificates \
    git-core \
    build-essential \
    cmake \
    libssl-dev \
    libseccomp-dev
  1. 克隆代码:
$ git clone https://github.com/SUNET/pkcs11-proxy
  1. 构建并进行安装:
$ cd pkcs11-proxy && \
  cmake . && \
  make && \
  make install
  1. 安装具有依赖项的SoftHSM2:
$ apt-get install -y \
    softhsm2 \
    opensc \
    gnutls-bin \
    libengine-pkcs11-openssl1.1
  1. SoftHSM中的初始化插槽/令牌:
$ softhsm2-util --init-token --slot 0 --label "main" \
                                      --pin "123456" \
                                      --so-pin "78910"

别忘了选择更好的价值。 6.现在可以启动pkcs11-proxy

$ export PKCS11_DAEMON_SOCKET="tcp://0.0.0.0:5657"
$ /usr/local/bin/pkcs11-daemon /usr/lib/softhsm/libsofthsm2.so

在客户端上。

  1. 重新构建pkcs11-proxy或仅复制先前步骤中的libpkcs11-proxy.so库:
$ apt-get install -y \
    ca-certificates \
    git-core \
    build-essential \
    cmake \
    libssl-dev \
    libseccomp-dev

$ git clone https://github.com/SUNET/pkcs11-proxy

$ cd pkcs11-proxy && \
cmake . && \
make && \
make install
  1. 现在您可以通过网络远程使用SoftHSM:
$ export PKCS11_PROXY_SOCKET="tcp://ip_or_domain_of_softhsm:5657"
$ pkcs11-tool --module=/usr/local/lib/libpkcs11-proxy.so -L

Available slots:
Slot 0 (0x5b763d80): SoftHSM slot ID 0x5b763d80
  token label        : main
  token manufacturer : SoftHSM project
  token model        : SoftHSM v2
  token flags        : login required, rng, token initialized, PIN initialized, other flags=0x20
  hardware version   : 2.5
  firmware version   : 2.5
  serial num         : 27c11aa55b763d80
  pin min/max        : 4/255
Slot 1 (0x1): SoftHSM slot ID 0x1
  token state:   uninitialized
  1. 您还可以通过pkcs11-toollibpkcs11-proxy.so生成新密钥/上传自己的密钥,等等:
$ pkcs11-tool --module=/usr/local/lib/libpkcs11-proxy.so -l --keypairgen --key-type rsa:2048 --id 100 --label mykey
Logging in to "main".
Please enter User PIN: 
Key pair generated:
Private Key Object; RSA 
  label:      mykey
  ID:         0100
  Usage:      decrypt, sign, unwrap
  Access:     sensitive, always sensitive, never extractable, local
Public Key Object; RSA 2048 bits
  label:      mykey
  ID:         0100
  Usage:      encrypt, verify, wrap
  Access:     local

$ pkcs11-tool --module=/usr/local/lib/libpkcs11-proxy.so -O -l
Using slot 0 with a present token (0x2561b147)
Logging in to "main".
Please enter User PIN: 
Private Key Object; RSA 
  label:      my_key
  ID:         0100
  Usage:      decrypt, sign, unwrap
  Access:     sensitive
Public Key Object; RSA 2048 bits
  label:      my_key
  ID:         0100
  Usage:      encrypt, verify, wrap
  Access:     none

阅读pkcs11-tool文档以获取更多信息。 TLS加密也受支持,但至少对我来说https://github.com/SUNET/pkcs11-proxy/blob/master/USAGE#L56

不稳定
相关问题
最新问题