<div dir="ltr">Hi Maxim,<div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 10, 2014 at 4:11 PM, Maxim Dounin <span dir="ltr"><<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>
<span class=""><br>
On Mon, Nov 10, 2014 at 03:54:20PM +0100, Thomas Calderon wrote:<br>
<br>
> Hi all,<br>
><br>
> Is someone else interested in providing feedback for my patch ?<br>
<br>
</span>Dmitrii's patch is currently a primary candidate for inclusion.  I<br>
agree with Piotr - it looks much better as it doesn't introduce<br>
additional dependencies and more configuration directives to do<br>
the same thing.<br></blockquote><div><br></div><div>Well a user will need to use OpenSC's engine_pkcs11 in order to use its own PKCS#11 library.</div><div>Although, this is an external dependency, without it, Dmitrii's patch is pretty much useless.</div><div>As for the addition of configuration directives, a user will need to use the global openssl.cnf in order to have a meaningful PKCS#11 configuration, with the various shortcomings I mentioned in my previous post.</div><div><br></div><div>I understand that nginx team desires to minimize the various changes that are introduced in the code base. IMHO, adding support for PKCS#11 devices should not be overlook or simplified, it should be a first class feature and have its mainstream support, hence its configuration directives.</div><div><br></div><div>Are you sure that Dmitrii's patch will allow to use dedicated key-pairs for each site declaration.</div><div><br></div><div>Regards,</div><div><br></div><div>Thomas. </div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5"><br>
> Regards,<br>
><br>
> Thomas.<br>
><br>
> On Mon, Nov 3, 2014 at 11:30 PM, Thomas Calderon <<a href="mailto:calderon.thomas@gmail.com">calderon.thomas@gmail.com</a>><br>
> wrote:<br>
><br>
> > Hi Piotr,<br>
> ><br>
> > I was not aware that some efforts were ongoing to use PKCS#11 devices with<br>
> > nginx.<br>
> > However, my experience with OpenSSL engine support is that the code is<br>
> > dusty, rather limited and relies on external configuration files.<br>
> > Dmitrii's approach requires to stack the OpenSSL engine code and OpenSC's<br>
> > engine_pkcs11 which ends-up loading the real PKCS#11 middleware.<br>
> > OpenSSL tends to perform multiple engine initialization which can confuse<br>
> > the PKCS#11 shared library. Using the engine section in openssl.cnf ties<br>
> > you up with a system-wide defined middleware.<br>
> ><br>
> > I would rather advocate for a more direct and self-contained approach.<br>
> ><br>
> > Regards,<br>
> ><br>
> > Thomas Calderon.<br>
> ><br>
> > On Mon, Nov 3, 2014 at 10:50 PM, Piotr Sikora <<a href="mailto:piotr@cloudflare.com">piotr@cloudflare.com</a>><br>
> > wrote:<br>
> ><br>
> >> Hi Thomas,<br>
> >><br>
> >> > This patch leverages PKCS#11 support in nginx http module using libp11.<br>
> >> > This allows the private key to be stored in a dedicated hardware (or<br>
> >> > software) component.<br>
> >><br>
> >> Dmitrii Pichulin is already working on (IMHO) much better way to<br>
> >> handle PKCS#11 via OpenSSL engines:<br>
> >> <a href="http://mailman.nginx.org/pipermail/nginx-devel/2014-August/005740.html" target="_blank">http://mailman.nginx.org/pipermail/nginx-devel/2014-August/005740.html</a><br>
> >><br>
> >> Best regards,<br>
> >> Piotr Sikora<br>
> >><br>
> >> _______________________________________________<br>
> >> nginx-devel mailing list<br>
> >> <a href="mailto:nginx-devel@nginx.org">nginx-devel@nginx.org</a><br>
> >> <a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
> >><br>
> ><br>
> ><br>
<br>
> _______________________________________________<br>
> nginx-devel mailing list<br>
> <a href="mailto:nginx-devel@nginx.org">nginx-devel@nginx.org</a><br>
> <a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
Maxim Dounin<br>
<a href="http://nginx.org/" target="_blank">http://nginx.org/</a><br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
nginx-devel mailing list<br>
<a href="mailto:nginx-devel@nginx.org">nginx-devel@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
</div></div></blockquote></div><br></div></div>