Para IBM® HTTP Server, puede utilizar IKEYMAN para almacenar claves en un
dispositivo PKCS11.
Procedimiento
- Obtenga
el nombre de archivo y la ubicación de la vía de acceso del
controlador criptográfico para almacenar las claves en el dispositivo
PKCS11. A continuación se muestran unos ejemplos de ubicaciones de vía de acceso para los
dispositivos PKCS11:
- nCipher:
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.sl
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.so
C:\nfast\toolkits\pkcs11\cknfast.dll
- IBM 4758
/usr/lib/pkcs11/PKCS11_API.so
$PKCS11_HOME\bin\NT\cryptoki.dll
- IBM e-business Cryptographic
Accelerator
/usr/lib/pkcs11/PKCS11_API.so
- Si el servidor web y JDK
(Java Development
Kit) son de 64 bits, seleccione una biblioteca PKCS11 de proveedor de 64
bits.
En algunas plataformas, al nombre de archivo de la biblioteca
PKCS11 de 64 bits se le
ha añadido 64.
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
Puede
visualizar la arquitectura del servidor web ejecutando apachectl -V.
Puede visualizar la arquitectura del servidor web
ejecutando httpd.exe -V.
- Determine la etiqueta de la señal PKCS11 que utilice.
Las
herramientas nativas de proveedor, como por ejemplo
pkcsconf -its, a menudo visualizan la etiqueta de la
señal.
- Cree un archivo de configuración
PKCS11 que describa el dispositivo PKCS11 utilizando los campos
siguientes:
- library: Vía de acceso
completa al controlador PKCS11 adecuado a la arquitectura
- name: El mismo que la etiqueta de señal del paso
anterior
- description: Campo de texto con la
descripción
- attributes: Un conjunto de
atributos que copia literalmente del ejemplo de certificado que el servidor
web utiliza
Nota: Con algunos aceleradores criptográficos, necesita una sintaxis
alternativa para evitar errores SSL0227E.
Ejemplo
/opt/HTTPServer/conf/pkcs11.cfg:
library = /usr/lib/pkcs11/PKCS11_API.so
name = PCI
description = descripción
attributes(*,CKO_PRIVATE_KEY,*) =
{CKA_PRIVATE=true CKA_TOKEN=true)
- Actualice el archivo
java/jre/lib/security/java.security bajo la raíz de
instalación para añadir un nuevo proveedor de seguridad.
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
# La línea siguiente es el último proveedor de seguridad preexistente.
security.provider.12=com...
# Añada la línea siguiente.
security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl /opt/HTTPServer/conf/pkcs11.cfg
# La línea siguiente es el último proveedor de seguridad preexistente.
security.provider.12=com...
# Añada la línea siguiente.
security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl C:\opt\HTTPServer\conf\pkcs11.cfg
- Ejecute IKEYMAN para almacenar las claves en el dispositivo PKCS11.
Después de ejecutar IKEYMAN:
- Seleccione Key Database File (Archivo de base de datos de claves) en el menú
y, a continuación, Open (Abrir) para ir al diálogo de información Base de datos de
claves.
- En el menú desplegable de Key Database Type (Tipo
de base de datos de claves), seleccione PKCS11Config.
Si
PKCS11Config no es una opción, pero PKCS11Direct sí lo es,
tiene un error que debe arreglar. Compruebe el trabajo de
java.security en los pasos anteriores. La opción PKCS11Direct
no es visible para el servidor web.
Todos los demás campos se
bloquean, ya que los parámetros se proporcionan desde el archivo
pkcs11.cfg.
- Pulse OK para ir al diálogo Open Cryptographic Token.
La etiqueta Cryptographic
Token Label del dispositivo PKCS11 aparece en este
panel. Esta etiqueta se obtiene del campo name del archivo
pkcs11.cfg y puede ser distinto al de la etiqueta de
señal nativa.
- Realice las acciones siguientes en el diálogo
Open Cryptographic Token.
- Escriba la contraseña de la señal criptográfica para
el dispositivo
PKCS11 en el campo Cryptographic Token Password. La
contraseña se ha establecido anteriormente y es específica del hardware.
Esta contraseña suele denominarse PIN del usuario en la
documentación del
proveedor y las herramientas.
- Seleccione la opción
Create new secondary key database file (Crear nuevo archivo de base de datos de
claves secundaria) y rellene las solicitudes para crear una nueva base de
datos de claves secundaria.
- Pulse
Aceptar.
Resultados
Después de abrir Si este es una señal criptográfica satisfactoriamente, IKEYMAN mostrará los certificados
almacenados en la señal criptográfica.
Qué hacer a continuación
Puede
crear,
importar o
recibir un certificado
personal tal como lo haría normalmente. La clave privada se almacena en el
dispositivo PKCS11.