如何配置 Tomcat 使用 SSL 加密以及儲存在遠端伺服器上的私鑰？

Question

「提取金鑰」完全違背了使用 HSM 的目的 - 這意味著私鑰仍將儲存在 Tomcat 的記憶體中（因此可以使用 Heartbleed 等來竊取），並且任何查看私鑰的人server.xml仍然可以竊取它經過只需運行完全相同的命令正如 Tomcat 所做的那樣。

只有當你能製作 Tomcat 時，你的想法才有意義發送簽名請求到 HSM。這會稍微增加延遲（因為每個 TLS 連線都必須存取 HSM），但這是真正增加安全性的唯一方法。

（它甚至不需要是真正的HSM；它甚至可以是在同一系統上運行的SoftHSM2，只要將密鑰牢固地保存在一個用戶帳戶上，而將Tomcat 保存在另一個用戶帳戶上，它仍然會更安全。

在同一系統上使用 PKCS#11 模組

您可以快轉瀏覽本部分，但將 PKCS#11 與 Tomcat 結合使用的基本步驟是：

建立一個文件：/etc/java-<name>.cfg
```
姓名 =<hsm_名稱>
庫= /usr/lib/p11-kit-proxy.so
```
（根據您的發行版調整庫路徑。此設定檔的完整文件可以在Java PKCS#11 指南.)

在您的文件中新增一行java.security：

安全提供者。編號=sun.security.pkcs11.SunPKCS11 /etc/java-<名字>.cfg

運行 keytool 並確保它顯示您的 HSM 內容：
```
keytool --list --storetype PKCS11
```

最後，設定 Tomcat 使用 PKCS#11：

<Connector ...
           keystore="NONE"
           keystoreType="PKCS11"
           keystoreProvider="SunPKCS11-hsm_name"
           keystorePass="[HSM PIN here]" />

使用遠端伺服器上的 PKCS#11 模組

這p11-試劑盒軟體包附帶兩個可以實現此目的的組件：

PKCS#11模組p11-kit-proxy.so，可作為多工器，可根據配置載入各種其他模組。除此之外，它還可以透過管道與進程外模組進行通訊。
該p11-kit remote工具充當 p11-kit 進程外模組支援的另一個管道端。它可以透過 SSH 或任何其他隧道使用。

首先在 HSM 方面：

安裝 p11-kit 並選擇或建立將使用它的使用者帳戶。
在該使用者帳戶中建立一個文件，向 p11-kit 告知您的 HSM PKCS#11 模組。該文件的內容由一行組成：~/.config/pkcs11/modules/<name>.module
```
模組：/usr/lib/<hsm_pkcs11_名稱>。
```
（或者，您可以在系統範圍的目錄中建立它/usr/share/p11-kit/modules/。）
確保p11-kit list並p11tool --list-tokens使用 HSM。

注意：此計劃實際上不需要步驟 2-3；它們的存在只是為了儘早發現可能出現的問題。如果發現 p11-kit 與 HSM 模組不相容，這將為您節省一些工作。（如果它相容，那麼您將能夠使用p11tool它來管理它。）

然後在Tomcat端：

也要安裝 p11-kit。
為 Tomcat 建立 SSH 金鑰對，並將其放入 HSM 帳戶中authorized_keys以進行無密碼 SSH 使用。
再次在 Tomcat 使用者帳戶的主目錄中建立一個文件，但這次文件的內容應如下所示：~/.config/pkcs11/modules/<name>.module
```
遠端： |ssh user@hsmserver p11-kit 遠端 /usr/lib/<hsm_pkcs11_名稱>。
```
再次，確保p11-kit list並p11tool --list-tokens工作。他們應該神奇地建立 SSH 連線並顯示有關遠端 HSM 的資訊。

若要加快遠端存取速度，請透過以下方式在 SSH 中啟用連線重複使用~/.ssh/config：

主持人高速管理伺服器
    ControlPath ~/.ssh/S.%r@%h:%p 
    ControlMaster 自動
    ControlPersist 1h

keytool如果一切正常，請嘗試與 p11-kit-proxy PKCS#11 模組一起使用：

建立一個/etc/java-p11-kit.cfg文件：
```
名稱 = p11-kit
庫 = /usr/lib/p11-kit-proxy.so
```
（根據您的發行版調整庫路徑。此設定檔的完整文件可以在Java PKCS#11 指南.)

在您的文件中新增一行java.security：

安全提供者。編號=sun.security.pkcs11.SunPKCS11 /etc/java-p11-kit.cfg

運行 keytool 並確保它顯示您的 HSM 內容：
```
keytool --list --storetype PKCS11
```

最後，設定 Tomcat 使用 p11-kit-proxy PKCS#11 模組：

<Connector ...
           keystore="NONE"
           keystoreType="PKCS11"
           keystoreProvider="SunPKCS11-p11-kit"
           keystorePass="[HSM PIN here]" />

Answer 1

「提取金鑰」完全違背了使用 HSM 的目的 - 這意味著私鑰仍將儲存在 Tomcat 的記憶體中（因此可以使用 Heartbleed 等來竊取），並且任何查看私鑰的人server.xml仍然可以竊取它經過只需運行完全相同的命令正如 Tomcat 所做的那樣。

只有當你能製作 Tomcat 時，你的想法才有意義發送簽名請求到 HSM。這會稍微增加延遲（因為每個 TLS 連線都必須存取 HSM），但這是真正增加安全性的唯一方法。

（它甚至不需要是真正的HSM；它甚至可以是在同一系統上運行的SoftHSM2，只要將密鑰牢固地保存在一個用戶帳戶上，而將Tomcat 保存在另一個用戶帳戶上，它仍然會更安全。

在同一系統上使用 PKCS#11 模組

您可以快轉瀏覽本部分，但將 PKCS#11 與 Tomcat 結合使用的基本步驟是：

建立一個文件：/etc/java-<name>.cfg
```
姓名 =<hsm_名稱>
庫= /usr/lib/p11-kit-proxy.so
```
（根據您的發行版調整庫路徑。此設定檔的完整文件可以在Java PKCS#11 指南.)

在您的文件中新增一行java.security：

安全提供者。編號=sun.security.pkcs11.SunPKCS11 /etc/java-<名字>.cfg

運行 keytool 並確保它顯示您的 HSM 內容：
```
keytool --list --storetype PKCS11
```

最後，設定 Tomcat 使用 PKCS#11：

<Connector ...
           keystore="NONE"
           keystoreType="PKCS11"
           keystoreProvider="SunPKCS11-hsm_name"
           keystorePass="[HSM PIN here]" />

使用遠端伺服器上的 PKCS#11 模組

這p11-試劑盒軟體包附帶兩個可以實現此目的的組件：

PKCS#11模組p11-kit-proxy.so，可作為多工器，可根據配置載入各種其他模組。除此之外，它還可以透過管道與進程外模組進行通訊。
該p11-kit remote工具充當 p11-kit 進程外模組支援的另一個管道端。它可以透過 SSH 或任何其他隧道使用。

首先在 HSM 方面：

安裝 p11-kit 並選擇或建立將使用它的使用者帳戶。
在該使用者帳戶中建立一個文件，向 p11-kit 告知您的 HSM PKCS#11 模組。該文件的內容由一行組成：~/.config/pkcs11/modules/<name>.module
```
模組：/usr/lib/<hsm_pkcs11_名稱>。
```
（或者，您可以在系統範圍的目錄中建立它/usr/share/p11-kit/modules/。）
確保p11-kit list並p11tool --list-tokens使用 HSM。

注意：此計劃實際上不需要步驟 2-3；它們的存在只是為了儘早發現可能出現的問題。如果發現 p11-kit 與 HSM 模組不相容，這將為您節省一些工作。（如果它相容，那麼您將能夠使用p11tool它來管理它。）

然後在Tomcat端：

也要安裝 p11-kit。
為 Tomcat 建立 SSH 金鑰對，並將其放入 HSM 帳戶中authorized_keys以進行無密碼 SSH 使用。
再次在 Tomcat 使用者帳戶的主目錄中建立一個文件，但這次文件的內容應如下所示：~/.config/pkcs11/modules/<name>.module
```
遠端： |ssh user@hsmserver p11-kit 遠端 /usr/lib/<hsm_pkcs11_名稱>。
```
再次，確保p11-kit list並p11tool --list-tokens工作。他們應該神奇地建立 SSH 連線並顯示有關遠端 HSM 的資訊。

若要加快遠端存取速度，請透過以下方式在 SSH 中啟用連線重複使用~/.ssh/config：

主持人高速管理伺服器
    ControlPath ~/.ssh/S.%r@%h:%p 
    ControlMaster 自動
    ControlPersist 1h

keytool如果一切正常，請嘗試與 p11-kit-proxy PKCS#11 模組一起使用：

建立一個/etc/java-p11-kit.cfg文件：
```
名稱 = p11-kit
庫 = /usr/lib/p11-kit-proxy.so
```
（根據您的發行版調整庫路徑。此設定檔的完整文件可以在Java PKCS#11 指南.)

在您的文件中新增一行java.security：

安全提供者。編號=sun.security.pkcs11.SunPKCS11 /etc/java-p11-kit.cfg

運行 keytool 並確保它顯示您的 HSM 內容：
```
keytool --list --storetype PKCS11
```

最後，設定 Tomcat 使用 p11-kit-proxy PKCS#11 模組：

<Connector ...
           keystore="NONE"
           keystoreType="PKCS11"
           keystoreProvider="SunPKCS11-p11-kit"
           keystorePass="[HSM PIN here]" />

如何配置 Tomcat 使用 SSL 加密以及儲存在遠端伺服器上的私鑰？

答案1

相關內容