Für IBM® HTTP Server können Sie IKEYMAN zum Speichern von Schlüsseln
auf einer PKCS11-Einheit verwenden.
Vorgehensweise
- Fordern Sie
den Dateinamen und die Pfadposition des Verschlüsselungstreibers an, um die Schlüssel auf der PKCS11-Einheit
zu speichern. Die folgenden Beispiele zeigen Verzeichnispositionen für PKCS11-Einheiten:
- nCipher:
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.sl
/opt/nfast/toolkits/pkcs11/libcknfast.so
/opt/nfast/toolkits/pkcs11/libcknfast.so
C:\nfast\toolkits\pkcs11\cknfast.dll
- IBM 4758
/usr/lib/pkcs11/PKCS11_API.so
$PKCS11_HOME\bin\NT\cryptoki.dll
- IBM E-Business Cryptographic
Accelerator
/usr/lib/pkcs11/PKCS11_API.so
- Wenn Ihr Web-Server und Java Development
Kit (JDK) 64-Bit-Versionen sind, wählen Sie die Bibliothek PKCS11 eines 64-Bit-Anbieters aus.
Auf einigen Plattformen ist dem Dateinamen der 64-Bit-PKCS11-Bibliothek
der Wert 64 angehängt.
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
sie können die Architektur
des Web-Server anzeigen, indem Sie apachectl -V ausführen.
sie können die Architektur
des Web-Server anzeigen, indem Sie httpd.exe -V ausführen.
- Bestimmen
Sie die Tokenbezeichnung des PKCS11-Tokens, das Sie verwenden.
Native Tool anderer Anbieter, wie z. B. pkcsconf -its,
zeigen häufig die l an.
- Erstellen Sie eine PKCS11-Konfigurationsdatei, in der Sie
die PKCS11-Einheit mit den folgenden Feldern beschreiben:
- library:
Vollständiger Pfad zum PKCS11-Treiber für die richtige Bibliothek.
- name: Entspricht der Tokenbezeichnung aus dem vorherigen Schritt.
- description: Textfeld mit Ihrer Beschreibung.
- attributes: Eine Gruppe von Attributen, die Sie wörtlich
aus dem Zertifikatsbeispiel kopieren, das der Web-Server verwendet.
Anmerkung: Bei manchen kryptografischen Beschleunigern ist eine alternative Syntax erforderlich, um Fehler
vom Typ "SSL0227E" zu vermeiden.
/opt/HTTPServer/conf/pkcs11.cfg Beispiel:
library = /usr/lib/pkcs11/PKCS11_API.so
name = PCI
description = description
attributes(*,CKO_PRIVATE_KEY,*) =
{CKA_PRIVATE=true CKA_TOKEN=true)
- Aktualisieren Sie die Datei java/jre/lib/security/java.security
im Installationsstammverzeichnis, um einen neuen Sicherheitsprovider hinzuzufügen.
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
# Die folgende Zeile ist der letzte bereits vorhandene Sicherheitsprovider.
security.provider.12=com...
# Fügen Sie die folgende Zeile hinzu.
security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl /opt/HTTPServer/conf/pkcs11.cfg
# Die folgende Zeile ist der letzte bereits vorhandene Sicherheitsprovider.
security.provider.12=com...
# Fügen Sie die folgende Zeile hinzu.
security.provider.13=com.ibm.crypto.pkcs11impl.provider.IBMPKCS11Impl C:\opt\HTTPServer\conf\pkcs11.cfg
- Führen Sie IKEYMAN aus, um die Schlüssel auf der PKCS11-Einheit zu speichern.
Gehen Sie nach dem Start von
IKEYMAN folgendermaßen vor:
- Wählen Sie im Menü den Eintrag Schlüsseldatenbankdatei und anschließend Öffnen aus, um
den Dialog mit den Schlüsseldatenbankinformationen zu öffnen.
- Wählen
Sie in der Dropdown-Liste für
Schlüsseldatentyp den Eintrag PKCS11Config aus.
Wenn PKCS11Config keine Option
ist, aber PKCS11Direct, liegt ein Fehler vor, den Sie beheben müssen.
Überprüfen Sie Ihre java.security-Arbeit in früheren Schritten.
Die Option "PKCS11Direct" ist für den Web-Server nicht sichtbar.
Alle anderen Felder werden gesperrt, da die Parameter
aus der Datei "pkcs11.cfg" bereitgestellt werden.
- Klicken Sie auf OK, um zum Dialog Verschlüsselungstoken öffnen zu navigieren.
Die Bezeichnung
Verschlüsselungstokenkennsatz der PKCS11-Einheit erscheint in der Anzeige.
Diese Bezeichnung stammt aus dem Namensfeld der Datei pkcs11.cfg und kann von der nativen
Tokenbezeichnung abweichen.
- Führen Sie im Dialog Verschlüsselungstoken öffnen die folgenden Aktionen aus.
- Geben Sie das Verschlüsselungstokenkennwort für die PKCS11-Einheit im Feld
Verschlüsselungstokenkennwort ein. Das Kennwort wurde zuvor gesetzt und ist hardwarespezifisch.
Dieses Kennwort wird in der Dokumentation und den Tools des Anbieters häufig auch als Benutzer-PIN (persönliche Identifikationsnummer)
bezeichnet.
- Wählen Sie die Option
Neue sekundäre Schlüsseldatenbankdatei erstellen aus, und folgen Sie den Bedienerführungen
zum Erstellen einer neuen sekundären Schlüsseldatenbank.
- Klicken Sie auf OK.
Ergebnisse
Nachdem Sie ein Verschlüsselungstoken geöffnet haben, zeigt
IKEYMAN die im Verschlüsselungstoken gespeicherten Zertifikate an.
Nächste Schritte
Sie können ein persönliches Zertifikat so
erstellen,
importieren und
empfangen, wie Sie es normalerweise gewohnt sind. Der private Schlüssel
wird auf der PKCS11-Einheit gespeichert.