Apache 未通過 PKCS#11 找到受 HSM 保護的私鑰
我已經在我的 Centos7 虛擬機上安裝了 Apache 和 mod_ssl。我正在嘗試使 TLS 使用受 HSM 通過 PKCS#11 保護的私鑰,但是當我嘗試啟動 Apache 時,它找不到我的私鑰(請參閱下面的錯誤)。我們的 PKCS#11 庫的日誌中也沒有寫入任何內容。
另一方面,如果我嘗試直接從命令行使用具有相同 PKCS#11 URI 的 OpenSSL,它能夠與 HSM 後端通信並辨識密鑰。PKCS#11 庫的日誌也會出現。
openssl rsautl -engine pkcs11 -keyform engine -inkey 'pkcs11:type=private?pin-value=121212;token=VendorPKCS11;id=%51' -sign -in myinputfile.txt -out myoutputfile.txt
對我來說,Apache 似乎出於某種原因沒有載入我們的 PKCS#11 庫,我不知道為什麼。我在Google找到了這個,但不是很詳細。
這是我設置的…
/etc/httpd/conf.d/ssl.conf:
(注意:apachecert.pem 是使用 HSM 上的私鑰自簽名的。)
Listen 443 https SSLRandomSeed startup file:/dev/urandom 256 SSLRandomSeed connect builtin SSLCryptoDevice pkcs11 <VirtualHost _default_:443> DocumentRoot "/var/www/html" ServerName myserver:443 ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn SSLEngine on SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!IDEA SSLCertificateFile /etc/pki/tls/apachecert.pem SSLCertificateKeyFile "pkcs11:type=private?pin-value=121212;token=VendorPKCS11;id=%51" </VirtualHost>
/etc/pki/tls/openssl.cnf:
openssl_conf = openssl_def [openssl_def] engines = engine_section [engine_section] pkcs11 = pkcs11_section [pkcs11_section] engine_id = pkcs11 dynamic_path = /usr/lib64/openssl/engines/libpkcs11.so MODULE_PATH = /etc/pki/tls/libVendorPKCS11.so init = 0
/etc/pki/tls/VendorPKCS11.properties:
log.folder.path=/etc/pki/tls/p11logs log.level=5 delay.between.auto.recovery.attempts=300 authentication.mode=TICKET portal.server.list=node1 token.label=VendorPKCS11 token.manufacturer.id=Vendor token.model=HSM Portal Token token.serial.number=1 token.max.pin.length=1024 token.min.pin.length=1 token.hardware.version=1.0 token.firmware.version=1.0 slot.description=Vendor HSM Portal PKCS11 slot.manufacturer.id=Vendor slot.hardware.version=1.0 slot.firmware.version=1.0 info.cryptoki.interface.version=2.20 info.manufacturer.id=Vendor info.library.description=HSM Portal based PKCS11 library info.library.version=2.0 credentials.user.name=username portal.node1.uri=backendserver:8999 portal.node1.certificate.path=/etc/pki/tls/rootcer.pem portal.node1.concurrent.clients=2 timeout.connection=15000 timeout.command=60000 timeout.keep.alive=600000
我在嘗試啟動 Apache 時看到的錯誤:
Oct 22 08:55:25 myserver systemd[1]: Starting The Apache HTTP Server... Oct 22 08:55:25 myserver httpd[11013]: AH00526: Syntax error on line 112 of /etc/httpd/conf.d/ssl.conf: Oct 22 08:55:25 myserver httpd[11013]: SSLCertificateKeyFile: file '/etc/httpd/pkcs11:type=private?pin-value=121212;token=VendorPKCS11;id=%51' does not exist or is empty Oct 22 08:55:25 myserver systemd[1]: httpd.service: main process exited, code=exited, status=1/FAILURE Oct 22 08:55:25 myserver kill[11015]: kill: cannot find process "" Oct 22 08:55:25 myserver systemd[1]: httpd.service: control process exited, code=exited status=1 Oct 22 08:55:25 myserver systemd[1]: Failed to start The Apache HTTP Server. Oct 22 08:55:25 myserver systemd[1]: Unit httpd.service entered failed state. Oct 22 08:55:25 myserver systemd[1]: httpd.service failed.
有誰知道為什麼 Apache 無法找到供應商 PKCS#11 庫或至少沒有任何日誌顯示?我也覺得奇怪的是,在 Apache 的錯誤輸出中,在 PKCS#11 URI 前面添加了“/etc/httpd/”。
經過一番白髮後,我意識到 PKCS#11 URI 僅在 Apache 的開發分支(版本 2.5.1)中實現。它在 2.4 的最新穩定版本中不可用。
包含此功能的修訂版如下:https ://svn.apache.org/viewvc?view=revision&revision=1830819
所以現在我想要實現的目標似乎無法用 Apache 2.4 和 mod_ssl 實現。
由於 Apache 次要版本號中的奇數僅被視為 Alpha/Beta,看來我們需要等待 httpd 2.6 發布。我找不到任何有關這方面的資訊,所以現在我不會屏住呼吸。
我一直在研究將 Apache 與 PKCS#11 一起使用的替代方法是:
- 使用 mod_nss 而不是 mod_ssl
- 有一個 PKCS#11 模組,該模組能夠從假密鑰文件中獲取參數(讓 Apache 2.4 讀取 ssl 配置而不會出現問題)